וואַלנעראַביליטי אין GitLab וואָס אַלאַוז איר צו נעמען איבער אַקאַונץ אָטערייזד דורך OAuth, LDAP און SAML

קערעקטיוו דערהייַנטיקונגען צו די קאַלאַבערייטיוו אַנטוויקלונג פּלאַטפאָרמע GitLab 14.7.7, 14.8.5 און 14.9.2 עלימינירן אַ קריטיש וואַלנעראַביליטי (CVE-2022-1162) פֿאַרבונדן מיט באַשטעטיקן האַרדקאָדעד פּאַסווערדז פֿאַר אַקאַונץ רעגיסטרירט ניצן די OmniAuth (OAuth) שפּייַזער, LDAP און SAML) . די וואַלנעראַביליטי פּאַטענטשאַלי אַלאַוז אַ אַטאַקער צו באַקומען אַקסעס צו דעם חשבון. אַלע יוזערז זענען אַדווייזד צו ינסטאַלירן די דערהייַנטיקן מיד. דעטאַילס פון דעם פּראָבלעם זענען נאָך נישט דיסקלאָוזד. יוזערז וועמענס אַקאַונץ זענען אַפעקטאַד דורך דעם אַרויסגעבן האָבן שוין פּראַמפּטיד צו באַשטעטיק זייער פּאַסווערדז. דער פּראָבלעם איז יידענאַפייד דורך GitLab עמפּלוייז און די ויספאָרשונג האט נישט אַנטדעקן קיין טראַסעס פון באַניצער קאָמפּראָמיס.

די נייַע ווערסיעס אויך עלימינירן 16 מער וואַלנעראַביליטיז, פון וואָס 2 זענען אנגעצייכנט ווי געפערלעך, 9 זענען מעסיק און 5 זענען נישט געפערלעך. געפערלעך ישוז אַרייַננעמען די מעגלעכקייט פון HTML ינדזשעקשאַן (XSS) אין באַמערקונגען (CVE-2022-1175) און באַמערקונגען / דיסקריפּשאַנז אין אַרויסגעבן (CVE-2022-1190).

מקור: opennet.ru