Вторая за неделю критическая уязвимость в GitLab
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Компания GitLab опубликовала очередную серию корректирующих обновлений своей платформы для организации совместной разработки - 15.3.2, 15.2.4 и 15.1.6, в которых устранена критическая уязвимость (CVE-2022-2992), позволяющая аутентифицированному пользователю удалённо выполнить код на сервере. Как и уязвимость CVE-2022-2884, исправленная неделю назад, новая проблема присутствует в API для импорта данных из сервиса GitHub. Уязвимость проявляется в том числе в выпусках 15.3.1, 15.2.3 и 15.1.5, в которых была исправлена первая уязвимость в коде импорта из GitHub.
Подробности эксплуатации пока не приводятся. Информация об уязвимости передана в GitLab в рамках действующей на HackerOne программы выплаты вознаграждений за обнаружение уязвимостей, но в отличие от прошлой проблемы выявлена другим участником. В качестве обходного пути администратору рекомендуется отключить функцию импорта из GitHub (в web-интерфейсе GitLab: "Menu" -> "Admin" -> "Settings" -> "General" -> "Visibility and access controls" -> "Import sources" -> отключить "GitHub").
Кроме того, в предложенных обновления исправлено ещё 14 уязвимостей, две из которых помечены как опасные, десяти присвоен средний уровень опасности, а две отмечены как неопасные. Опасными признаны: уязвимость CVE-2022-2865, позволяющая добавить свой JavaScript-код на показываемые другим пользователям страницы через манипуляцию с цветными метками, а также уязвимость CVE-2022-2527, дающая возможность подставить своё содержимое через поле с описанием в шкале инцидентов (Incidents Timeline). Уязвимости средней степени опасности в основном связаны с возможностью совершить отказ в обслуживании.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://about.gitlab.com/relea...)
- OpenNews: Критическая уязвимость в GitLab
- OpenNews: GitLab намерен удалять бесплатно размещённые проекты, неактивные в течение года (дополнено)
- OpenNews: Сбой в GitLab-инфраструктуре FreeDesktop, затронувший репозитории многих проектов
- OpenNews: В GitLab заменят встроенный редактор кода на Visual Studio Code
- OpenNews: Уязвимость в GitLab, позволяющая захватить аккаунты, авторизированные через OAuth, LDAP и SAML
Похожие новости:
- Критическая уязвимость в GitLab
- GitLab намерен удалять бесплатно размещённые проекты, неактивные в течение года
- Разработчики Wine приняли решение о переводе разработки на GitLab
- Проект Wine рассматривает возможность перевода разработки на платформу GitLab
- Уязвимость в GitLab, позволяющая захватить аккаунты, авторизированные через OAuth, LDAP и SAML
- Уязвимость в GitLab, позволяющая получить доступ к токенам Runner
- Проект CentOS переходит на разработку с использованием GitLab
- Захват контроля над уязвимыми серверами GitLab для вовлечения в проведение DDoS-атак
- [JavaScript, Карьера в IT-индустрии, VueJS, Интервью] От DBA и работы в стартапе до Vue.js Core team member и Staff Frontend Engineer в GitLab: история Натальи Теплухиной
- [FPGA, Системы сборки, DevOps, Производство и разработка электроники] Continuous Integration для Intel FPGA (Altera)
Теги для поиска: #_gitlab
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 11:08
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Компания GitLab опубликовала очередную серию корректирующих обновлений своей платформы для организации совместной разработки - 15.3.2, 15.2.4 и 15.1.6, в которых устранена критическая уязвимость (CVE-2022-2992), позволяющая аутентифицированному пользователю удалённо выполнить код на сервере. Как и уязвимость CVE-2022-2884, исправленная неделю назад, новая проблема присутствует в API для импорта данных из сервиса GitHub. Уязвимость проявляется в том числе в выпусках 15.3.1, 15.2.3 и 15.1.5, в которых была исправлена первая уязвимость в коде импорта из GitHub. Подробности эксплуатации пока не приводятся. Информация об уязвимости передана в GitLab в рамках действующей на HackerOne программы выплаты вознаграждений за обнаружение уязвимостей, но в отличие от прошлой проблемы выявлена другим участником. В качестве обходного пути администратору рекомендуется отключить функцию импорта из GitHub (в web-интерфейсе GitLab: "Menu" -> "Admin" -> "Settings" -> "General" -> "Visibility and access controls" -> "Import sources" -> отключить "GitHub"). Кроме того, в предложенных обновления исправлено ещё 14 уязвимостей, две из которых помечены как опасные, десяти присвоен средний уровень опасности, а две отмечены как неопасные. Опасными признаны: уязвимость CVE-2022-2865, позволяющая добавить свой JavaScript-код на показываемые другим пользователям страницы через манипуляцию с цветными метками, а также уязвимость CVE-2022-2527, дающая возможность подставить своё содержимое через поле с описанием в шкале инцидентов (Incidents Timeline). Уязвимости средней степени опасности в основном связаны с возможностью совершить отказ в обслуживании. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 11:08
Часовой пояс: UTC + 5