對協作開發平台GitLab 14.8.2、14.7.4 和14.6.5 的修正更新消除了一個嚴重漏洞(CVE-2022-0735),該漏洞允許未經授權的用戶提取GitLab Runner 中的註冊令牌,該令牌用於呼叫處理程序在持續整合系統中建立專案程式碼時。 目前尚未提供詳細信息,僅表示該問題是由於使用“快速操作”命令時信息洩露造成的。
此問題由 GitLab 工作人員發現,影響版本 12.10 至 14.6.5、14.7 至 14.7.4 和 14.8 至 14.8.2。 建議維護自訂 GitLab 安裝的使用者盡快安裝更新或套用修補程式。 透過將對快速操作命令的存取權限限制為僅具有寫入權限的用戶,該問題已解決。 安裝更新或單獨的「令牌前綴」修補程式後,先前為群組和專案建立的 Runner 中的註冊令牌將被重設並重新產生。
除了嚴重漏洞外,新版本還消除了 6 個不太危險的漏洞,這些漏洞可能導致非特權用戶將其他用戶添加到群組中、透過操縱程式碼片段內容誤導用戶、透過 sendmail 傳遞方法洩露環境變數、透過GraphQL API 確定使用者的存在、在拉取模式下透過SSH 鏡像儲存庫時洩漏密碼、透過評論提交系統進行DoS 攻擊。
來源: opennet.ru