Уязвимость в GitLab 16, позволяющая прочитать файлы на сервере
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
В представленном 22 мая выпуске платформы для организации совместной разработки GitLab 16.0 выявлена критическая уязвимость (CVE-2023-2825), позволяющая неаутентифицированному пользователю получить содержимое любого файла на сервере, насколько это позволяют права доступа процесса, обрабатывающего запросы. Уязвимости присвоен наивысший уровень опасности (10 из 10). Проблема устранена в обновлении GitLab 16.0.1 и затрагивает только ветку 16.0. Информация об уязвимости передана в GitLab в рамках действующей на HackerOne программы выплаты вознаграждений за обнаружение уязвимостей.
Подробности эксплуатации пока не приводятся, их обещают опубликовать через 30 дней после исправления. Известно лишь, то, что уязвимость вызвана ошибкой проверки файловых путей, позволяющей выйти за пределы базового каталога и прочитать содержимое произвольных файлов при наличии вложения в публичном проекте, входящем как минимум в 5 групп.
Из новых возможностей ветки GitLab 16 можно отметить панель Value Streams для отслеживания изменения метрик, связанных с распространением проекта, частотой внедрения, выявлением проблем и временем их исправления. Также добавлена поддержка шаблонов комментариев, появилась кнопка для обновления форка репозитория через перенос изменений из основного проекта, реализован API для обновления токенов, добавлена возможность определения фильтров при импорте репозиториев с GitHub, обеспечена возможность вставки emoji-реакций в задачи, интегрирована функциональность для назначения отдельного поддомена для каждого проекта GitLab Pages, добавлена поддержка аутентификации с использованием персональных токенов Jira. Расширены возможности Web IDE, связанные с поддержкой удалённых рабочих пространств и выводом рекомендаций при написании кода.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://about.gitlab.com/relea...)
- OpenNews: Уязвимость в GitLab, позволяющая запустить код при сборке в CI любого проекта
- OpenNews: Увольнение части сотрудников GitHub и GitLab
- OpenNews: Вторая за неделю критическая уязвимость в GitLab
- OpenNews: GitLab намерен удалять бесплатно размещённые проекты, неактивные в течение года (дополнено)
- OpenNews: Уязвимость в GitLab, позволяющая получить доступ к токенам Runner
Похожие новости:
- Уязвимость в GitLab, позволяющее запустить код при сборке в CI любого проекта
- Увольнение части сотрудников GitHub и GitLab
- Вторая за неделю критическая уязвимость в GitLab
- Критическая уязвимость в GitLab
- GitLab намерен удалять бесплатно размещённые проекты, неактивные в течение года
- Разработчики Wine приняли решение о переводе разработки на GitLab
- Проект Wine рассматривает возможность перевода разработки на платформу GitLab
- Уязвимость в GitLab, позволяющая захватить аккаунты, авторизированные через OAuth, LDAP и SAML
- Уязвимость в GitLab, позволяющая получить доступ к токенам Runner
- Проект CentOS переходит на разработку с использованием GitLab
Теги для поиска: #_gitlab
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 04:33
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
В представленном 22 мая выпуске платформы для организации совместной разработки GitLab 16.0 выявлена критическая уязвимость (CVE-2023-2825), позволяющая неаутентифицированному пользователю получить содержимое любого файла на сервере, насколько это позволяют права доступа процесса, обрабатывающего запросы. Уязвимости присвоен наивысший уровень опасности (10 из 10). Проблема устранена в обновлении GitLab 16.0.1 и затрагивает только ветку 16.0. Информация об уязвимости передана в GitLab в рамках действующей на HackerOne программы выплаты вознаграждений за обнаружение уязвимостей. Подробности эксплуатации пока не приводятся, их обещают опубликовать через 30 дней после исправления. Известно лишь, то, что уязвимость вызвана ошибкой проверки файловых путей, позволяющей выйти за пределы базового каталога и прочитать содержимое произвольных файлов при наличии вложения в публичном проекте, входящем как минимум в 5 групп. Из новых возможностей ветки GitLab 16 можно отметить панель Value Streams для отслеживания изменения метрик, связанных с распространением проекта, частотой внедрения, выявлением проблем и временем их исправления. Также добавлена поддержка шаблонов комментариев, появилась кнопка для обновления форка репозитория через перенос изменений из основного проекта, реализован API для обновления токенов, добавлена возможность определения фильтров при импорте репозиториев с GitHub, обеспечена возможность вставки emoji-реакций в задачи, интегрирована функциональность для назначения отдельного поддомена для каждого проекта GitLab Pages, добавлена поддержка аутентификации с использованием персональных токенов Jira. Расширены возможности Web IDE, связанные с поддержкой удалённых рабочих пространств и выводом рекомендаций при написании кода. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 04:33
Часовой пояс: UTC + 5