Các bản cập nhật khắc phục cho nền tảng phát triển cộng tác GitLab 14.8.2, 14.7.4 và 14.6.5 loại bỏ lỗ hổng nghiêm trọng (CVE-2022-0735) cho phép người dùng trái phép trích xuất mã thông báo đăng ký trong GitLab Runner, được sử dụng để gọi trình xử lý khi xây dựng mã dự án trong một hệ thống tích hợp liên tục. Thông tin chi tiết vẫn chưa được cung cấp, chỉ cho biết vấn đề là do rò rỉ thông tin khi sử dụng lệnh Quick Actions.
Sự cố đã được nhân viên GitLab xác định và ảnh hưởng đến các phiên bản 12.10 đến 14.6.5, 14.7 đến 14.7.4 và 14.8 đến 14.8.2. Người dùng duy trì cài đặt GitLab tùy chỉnh nên cài đặt bản cập nhật hoặc áp dụng bản vá càng sớm càng tốt. Sự cố đã được giải quyết bằng cách hạn chế quyền truy cập vào các lệnh Tác vụ nhanh chỉ đối với những người dùng có quyền ghi. Sau khi cài đặt bản cập nhật hoặc bản vá “tiền tố mã thông báo” riêng lẻ, mã thông báo đăng ký trong Runner được tạo trước đó cho các nhóm và dự án sẽ được đặt lại và tạo lại.
Ngoài lỗ hổng nghiêm trọng, các phiên bản mới còn loại bỏ 6 lỗ hổng ít nguy hiểm hơn có thể dẫn đến việc người dùng không có đặc quyền thêm người dùng khác vào nhóm, thông tin sai lệch về người dùng thông qua việc thao túng nội dung của Snippets, rò rỉ biến môi trường thông qua phương thức gửi sendmail, xác định sự hiện diện của người dùng thông qua API GraphQL, rò rỉ mật khẩu khi phản chiếu kho lưu trữ qua SSH ở chế độ kéo, tấn công DoS thông qua hệ thống gửi nhận xét.
Nguồn: opennet.ru