ืงืขืจืขืงืืืื ืืขืจืืืึทื ืืืงืื ืืขื ืฆื ืืขืจ ืคึผืืึทืืคืึธืจืืข ืคึฟืึทืจ ืึธืจืืึทื ืืืืื ื ืงืึทืืึทืืขืจืืืืืื ืึทื ืืืืืงืืื ื ืืขื ืขื ืืจืืืก - GitLab 16.7.2, 16.6.4 ืืื 16.5.6, ืืืึธืก ืคืึทืจืจืืืื ืฆืืืื ืงืจืืืืฉ ืืืึทืื ืขืจืึทืืืืืืื. ืืขืจ ืขืจืฉืืขืจ ืืืึทืื ืขืจืึทืืืืืื (CVE-2023-7028), ืืืึธืก ืืื ืึทืกืืื ื ืื ืืึทืงืกืืืื ืฉืืจืขื ืืงืืึทื ืืืจืื (10 ืคืื 10), ืึทืืึทืื ืืืจ ืฆื ืึธื ืืึทืคึผื ืขืืขืฆืขืจ ืึทื ืืขืจืฉ ืก ืืฉืืื ืืืจื ืืึทื ืืคึผืืึทืืืืฉืึทื ืคืื ืื ืคืืจืืขืกื ืคึผืึทืจืึธื ืึธืคึผืืื ืคืึธืจืขื. ืื ืืืึทืื ืขืจืึทืืืืืื ืืื ืืขืคึฟืืจื ืืืจื ืื ืืขืืืขืืงืืื ืคืื ืฉืืงื ืึทื E- ืืจืืื ืืื ืึท ืคึผืึทืจืึธื ืืึทืฉืืขืืืง ืงืึธื ืฆื ืึทื ืืืขืจืึทืคืืื E- ืืจืืื ืึทืืจืขืกืขืก. ืืขืจ ืคึผืจืึธืืืขื ืืื ืืจืืืก ืืื ื ืื ืืขืืืื ื ืคืื GitLab 16.1.0, ืืืึธืก ืื ืืจืึธืืืืกื ืื ืคืืืืงืืื ืฆื ืฉืืงื ืึท ืคึผืึทืจืึธื ืึธืคึผืืื ืงืึธื ืฆื ืึทื ืึทื ืืืขืจืึทืคืืื ืืึทืงืึทืคึผ E- ืืจืืื ืึทืืจืขืก.
ืฆื ืงืึธื ืืจืึธืืืจื ืื Facts ืคืื ืงืึทืืคึผืจืึทืืืื ืคืื ืกืืกืืขืืขื, ืขืก ืืื ืคืืจืืขืืืืื ืฆื ืึธืคึผืฉืึทืฆื ืืื ืื gitlab-rails/production_json.log ืงืืึธืฅ ืื ืืืึทืืืึทื ืคืื ืืืืคึผ ืจืืงืืืขืก ืฆื ืื / ืืืืขืจื / ืคึผืึทืจืึธื ืืึทื ืืืขืจ ืืืึธืก ืื ืืืงืืืฅ ืึท ืืขื ืืข ืคืื โโโโืขืืืขืืข ืืืืืื ืืื ืื "params.value.email " ืคึผืึทืจืึทืืขืืขืจ. ืขืก ืืื ืืืื ืกืึทืืืืฉืขืกืืื ืฆื ืงืึธื ืืจืึธืืืจื ืคึฟืึทืจ ืืืื ืกื ืืื ืื gitlab-rails/audit_json.log ืงืืึธืฅ ืืื ืื ืืืขืจื PasswordsController#create ืืื meta.caller.id ืืื ืื ืืึทืงืืืืื ื ืึท ืืขื ืืข ืคืื โโโโืขืืืขืืข ืึทืืจืขืกืขืก ืืื ืื target_details ืืืึธืง. ืื ืืึทืคืึทืื ืงืขื ืขื ื ืื ืืืื ืืขืขื ืืืงื ืืืื ืืขืจ ืืึทื ืืฆืขืจ ืื ืืืืึทืื ืฆืืืื-ืคืึทืงืืึธืจ ืึธืืขื ืืึทืงืืืฉืึทื.
ืื ืฆืืืืืืข ืืืึทืื ืขืจืึทืืืืืื, CVE-2023-5356, ืืื ืคืึธืจืฉืืขืื ืืื ืื ืงืึธื ืคึฟืึทืจ ืื ืึทืืจืืืฉืึทื ืืื ืื ืกืืึทืงืง ืืื ืืึทืืืขืจืืึธืกื ืืึทืืื ืื ืืก, ืืื ืึทืืึทืื ืืืจ ืฆื ืืืกืคืืจื /-ืงืึทืืึทื ืื ืืื ืืขืจ ืื ืื ืืขืจ ืืึทื ืืฆืขืจ ืจืขืื ืฆื ืืขืจ ืคืขืื ืคืื ืืขืืขืจืืง ืืขืจืืืืืขื ืืฉ ืืฉืขืง. ืื ืึทืจืืืกืืขืื ืืื ืึทืกืืื ื ืึท ืฉืืจืขื ืืงืืึทื ืืืจืื ืคืื 9.6 ืคืื 10. ืื ื ืืึทืข ืืืขืจืกืืขืก ืืืื ืขืืืืื ืืจื ืึท ืืืืื ืืงืขืจ ืืขืคืขืจืืขื (7.6 ืคืื 10) ืืืึทืื ืขืจืึทืืืืืื (CVE-2023-4812), ืืืึธืก ืึทืืึทืื ืืืจ ืฆื ืืืืคึผืึทืก ืื ืืึทืกืงืึธืืข ืคืื โโCODEOWNERS ืืืจื ืึทืืื ื ืขื ืืขืจืื ืืขื ืฆื ืึท ืคืจืืขืจ ืืืืืืืืงื ืฆืื ืืืคืืืกื ืืขืื.
ืืืืืืื ืืื ืคึฟืึธืจืืึทืฆืืข ืืืขืื ืื ืืืืขื ืึทืคืืื ืืืึทืื ืขืจืึทืืืืืืื ืืื ืคึผืืึทื ื ืขื ืฆื ืืืื ืืืกืงืืึธืืื 30 ืืขื ื ืึธื ืื ืืืกืืึทืืข ืคืื โโืื ืคืึทืจืจืืืื. ืื ืืืึทืื ืขืจืึทืืืืืืื ืืขื ืขื ืืขืจืืื ืื ืฆื GitLab ืืื ืึท ืืืื ืคืื HackerOne ืก ืืืึทืื ืขืจืึทืืืืืื ืืจืืืืืึทืจืฆืืงืืื ืคึผืจืึธืืจืึทื.
ืืงืืจ: opennet.ru