צווייטע קריטיש וואַלנעראַביליטי אין GitLab אין אַ וואָך

GitLab האט ארויס די ווייַטער סעריע פון ​​קערעקטיוו דערהייַנטיקונגען צו זיין פּלאַטפאָרמע פֿאַר אָרגאַנייזינג קאַלאַבערייטיוו אַנטוויקלונג - 15.3.2, 15.2.4 און 15.1.6, וואָס עלימינירן אַ קריטיש וואַלנעראַביליטי (CVE-2022-2992) וואָס אַלאַוז אַן אָטענטאַקייטאַד באַניצער צו רימאָוטלי ויספירן קאָד אויף די סערווער. ווי די CVE-2022-2884 וואַלנעראַביליטי, וואָס איז געווען פאַרפעסטיקט אַ וואָך צוריק, אַ נייַע פּראָבלעם איז פאָרשטעלן אין די אַפּי פֿאַר ימפּאָרטינג דאַטן פֿון די GitHub דינסט. די וואַלנעראַביליטי איז אויך ארויס אין ריליסיז 15.3.1, 15.2.3 און 15.1.5, וואָס פאַרפעסטיקט די ערשטער וואַלנעראַביליטי אין די אַרייַנפיר קאָד פֿון GitHub.

אַפּעריישאַנאַל דעטאַילס זענען נאָך נישט צוגעשטעלט. אינפֿאָרמאַציע וועגן די וואַלנעראַביליטי איז געווען דערלאנגט צו GitLab ווי אַ טייל פון HackerOne ס וואַלנעראַביליטי ברייטהאַרציקייט פּראָגראַם, אָבער ניט ענלעך די פריערדיקע פּראָבלעם, עס איז געווען יידענאַפייד דורך אן אנדער באַטייליקטער. ווי אַ וואָרקאַראָונד, עס איז רעקאַמענדיד אַז דער אַדמיניסטראַטאָר דיסייבאַל די אַרייַנפיר פֿונקציע פֿון GitHub (אין די GitLab וועב צובינד: "מעניו" -> "אַדמין" -> "סעטטינגס" -> "אַלגעמיינע" -> "וויזאַביליטי און אַקסעס קאָנטראָלס" - > "ימפּאָרט מקורים" -> דיסייבאַל "גיטהוב").

אין אַדישאַן, די פארגעלייגט דערהייַנטיקונגען פאַרריכטן 14 מער וואַלנעראַביליטיז, צוויי פון וואָס זענען אנגעצייכנט ווי געפערלעך, צען זענען אַסיינד אַ מיטל מדרגה פון געפאַר, און צוויי זענען אנגעצייכנט ווי גוט. די פאלגענדע זענען אנערקענט ווי געפערלעך: וואַלנעראַביליטי CVE-2022-2865, וואָס אַלאַוז איר צו לייגן דיין אייגענע דזשאַוואַסקריפּט קאָד צו בלעטער געוויזן צו אנדערע יוזערז דורך מאַניפּיאַליישאַן פון קאָליר לאַבעלס, ווי געזונט ווי וואַלנעראַביליטי CVE-2022-2527, וואָס מאכט עס מעגלעך צו פאַרבייַטן דיין אינהאַלט דורך די באַשרייַבונג פעלד אין די ינסידענץ וואָג טיימליין). מעסיק שטרענגקייַט וואַלנעראַביליטיז זענען בפֿרט שייַכות צו די מעגלעכקייט פון אָפּלייקענונג פון דינסט.

מקור: opennet.ru