பல நாட்களுக்கு முன்பு GitLab ஒரு வலைப்பதிவு இடுகை மூலம் வெளியிடப்பட்டது என்று ஆராய்ச்சியாளர்கள் வெளிப்படுத்தினர் ஒரு பாதிப்பின் விவரங்கள் பாதுகாப்பு இப்போது GitLab இல் இணைக்கப்பட்டுள்ளது, இது ஒரு திறந்த மூல DevOps மென்பொருளாகும், இது அங்கீகரிக்கப்படாத தொலைநிலை தாக்குபவர் பயனர் தொடர்பான தகவலை மீட்டெடுக்க அனுமதிக்கும்.
முக்கிய பாதிப்பு, இது ஏற்கனவே உள்ளது CVE-2021-4191 என பதிவுசெய்யப்பட்டது, 13.0 இலிருந்து GitLab சமூக பதிப்பு மற்றும் நிறுவன பதிப்பின் அனைத்து பதிப்புகளையும் மற்றும் 14.4 மற்றும் 14.8 க்கு முந்தைய அனைத்து பதிப்புகளையும் பாதிக்கும் நடுத்தர தீவிரத்தன்மை குறைபாடு காரணமாகும்.
நவம்பர் 7, 18 அன்று பொறுப்பான வெளிப்பாட்டிற்குப் பிறகு, GitLab 2021, 14.8.2 இலிருந்து முக்கியமான பாதுகாப்பு வெளியீடுகளின் ஒரு பகுதியாக திருத்தங்களை வெளியிட்டவர், Rapid14.7.4 இல் மூத்த பாதுகாப்பு ஆராய்ச்சியாளரான Jake Baines ஆவார். 14.6.5 மற்றும் XNUMX இது GitLab Runner இல் பதிவு டோக்கன்களைப் பெற அங்கீகரிக்கப்படாத பயனரை அனுமதிக்கலாம், தொடர்ச்சியான ஒருங்கிணைப்பு அமைப்பில் திட்டக் குறியீட்டை உருவாக்கும் போது அழைப்பு கையாளுபவர்களை ஒழுங்கமைக்கப் பயன்படுகிறது.
"சில GitLab GraphQL API கோரிக்கைகளை இயக்கும் போது, காணாமற்போன அங்கீகாரச் சரிபார்ப்பின் விளைவுதான் பாதிப்பு" என்று பெய்ன்ஸ் கூறினார். வியாழக்கிழமை வெளியிடப்பட்ட அறிக்கையில் குறிப்பிடப்பட்டுள்ளது. "அங்கீகரிக்கப்படாத ரிமோட் தாக்குபவர், GitLab பதிவு செய்யப்பட்ட பயனர்பெயர்கள், பெயர்கள் மற்றும் மின்னஞ்சல் முகவரிகளை அறுவடை செய்ய இந்த பாதிப்பைப் பயன்படுத்தலாம்."
கூடுதலாக, நீங்கள் குபெர்னெட்ஸ் எக்ஸிகியூட்டர்களைப் பயன்படுத்தினால், ஹெல்ம் விளக்கப்பட மதிப்புகளை கைமுறையாக புதுப்பிக்க வேண்டும் என்று குறிப்பிடப்பட்டுள்ளது. புதிய பதிவு டோக்கனுடன்.
14.6 அல்லது அதற்குப் பிந்தைய பதிப்புகளில் இல்லாத சுய-நிர்வகிக்கப்பட்ட நிகழ்வுகளுக்கு, GitLab உள்ளது இடுகையிடப்பட்ட இணைப்புகள் பாதிப்பின் மூலம் ரன்னர் பதிவு டோக்கனின் வெளிப்பாட்டைத் தணிக்கப் பயன்படுத்தலாம் விரைவான செயல்கள் இந்த இணைப்புகள் தற்காலிகமாக கருதப்பட வேண்டும். எந்த GitLab நிகழ்வும் கூடிய விரைவில் 14.8.2, 14.7.4 அல்லது 14.6.5 இன் பேட்ச் செய்யப்பட்ட பதிப்பிற்கு புதுப்பிக்கப்பட வேண்டும்.
வெற்றிகரமான API கசிவு சுரண்டல் ஒரு இலக்குக்குச் சொந்தமான முறையான பயனர்பெயர்களின் பட்டியலைக் கணக்கிடவும் தொகுக்கவும் தீங்கிழைக்கும் நடிகர்களை அனுமதிக்கலாம் கடவுச்சொல் யூகித்தல், கடவுச்சொல் தெளித்தல் மற்றும் நற்சான்றிதழ்களை நிரப்புதல் உள்ளிட்ட முரட்டுத்தனமான தாக்குதல்களை மேற்கொள்ள இது ஒரு ஊக்கியாகப் பயன்படுத்தப்படலாம்.
"தகவல் கசிவு, GitLab நிறுவல்களின் அடிப்படையில் ஒரு புதிய பயனர் சொல் பட்டியலை உருவாக்குவதற்கு ஒரு தாக்குதலை அனுமதிக்கும், gitlab.com இலிருந்து மட்டுமல்லாமல், 50,000 இணைய அணுகக்கூடிய GitLab நிகழ்வுகளிலிருந்தும்."
இது பரிந்துரைக்கப்படுகிறது தங்கள் சொந்த GitLab நிறுவல்களை பராமரிக்கும் பயனர்களுக்கு ஒரு புதுப்பிப்பை நிறுவ அல்லது கூடிய விரைவில் ஒரு பேட்சைப் பயன்படுத்தவும். விரைவு செயல் கட்டளைகளுக்கான அணுகலை எழுத அனுமதி உள்ள பயனர்களுக்கு மட்டுமே வழங்குவதன் மூலம் இந்தச் சிக்கல் சரி செய்யப்பட்டது.
புதுப்பிப்பு அல்லது தனிப்பட்ட "டோக்கன்-பிரிஃபிக்ஸ்" பேட்ச்களை நிறுவிய பிறகு, குழுக்கள் மற்றும் ரன்னரில் உள்ள திட்டங்களுக்கு முன்பு உருவாக்கப்பட்ட பதிவு டோக்கன்கள் மீட்டமைக்கப்பட்டு மீண்டும் உருவாக்கப்படும்.
முக்கியமான பாதிப்புக்கு கூடுதலாக, வெளியிடப்பட்ட புதிய பதிப்புகளில் 6 குறைவான ஆபத்தான பாதிப்புகளுக்கான திருத்தங்களும் அடங்கும்:
- கருத்து சமர்ப்பிப்பு அமைப்பு மூலம் ஒரு DoS தாக்குதல்: GitLab CE/EE இல் உள்ள சிக்கல் 8.15 இல் தொடங்கும் அனைத்து பதிப்புகளையும் பாதிக்கிறது. சிக்கல் கருத்துகளில் ஒரு குறிப்பிட்ட சூத்திரத்துடன் கணித செயல்பாட்டைப் பயன்படுத்துவதன் மூலம் ஒரு DOS ஐ செயல்படுத்த முடியும்.
- சலுகை இல்லாத பயனரால் குழுக்களில் பிற பயனர்களைச் சேர்த்தல்: இது 14.3.6 க்கு முந்தைய அனைத்து பதிப்புகளையும், 14.4 க்கு முன் 14.4.4 முதல் அனைத்து பதிப்புகளையும், 14.5 முதல் 14.5.2 க்கு முந்தைய அனைத்து பதிப்புகளையும் பாதிக்கும். சில நிபந்தனைகளின் கீழ், GitLab REST API ஆனது இணைய UI மூலம் சாத்தியமில்லையென்றாலும், சலுகை இல்லாத பயனர்களை குழுக்களில் மற்ற பயனர்களைச் சேர்க்க அனுமதிக்கும்.
- துணுக்குகளின் உள்ளடக்கத்தை கையாளுவதன் மூலம் பயனர்களின் தவறான தகவல்: ஒரு அங்கீகரிக்கப்படாத நடிகரை ஏமாற்றும் உள்ளடக்கத்துடன் துணுக்குகளை உருவாக்க அனுமதிக்கிறது, இது சந்தேகத்திற்கு இடமில்லாத பயனர்களை தன்னிச்சையான கட்டளைகளை செயல்படுத்தும்
- "சென்ட்மெயில்" டெலிவரி முறை மூலம் சுற்றுச்சூழல் மாறிகளின் கசிவு: GitLab CE/EE இன் அனைத்து பதிப்புகளிலும் தவறான உள்ளீடு சரிபார்ப்பு மின்னஞ்சல்களை அனுப்புவதற்கு அனுப்பும் மெயிலைப் பயன்படுத்தி, சிறப்பாக வடிவமைக்கப்பட்ட மின்னஞ்சல் முகவரிகள் மூலம் சுற்றுச்சூழல் மாறிகளைத் திருட அங்கீகரிக்கப்படாத நடிகரை அனுமதித்தது.
- GraphQL API மூலம் பயனர் இருப்பைத் தீர்மானித்தல்: தடைசெய்யப்பட்ட பதிவேடுகளைக் கொண்ட தனியார் GitLab நிகழ்வுகள், GraphQL API மூலம் அங்கீகரிக்கப்படாத பயனர்களால் பயனர் கணக்கீடுகளால் பாதிக்கப்படலாம்.
- இழுக்கும் பயன்முறையில் SSH வழியாக களஞ்சியங்களை பிரதிபலிக்கும் போது கடவுச்சொல் கசிகிறது
இறுதியாக நீங்கள் அதைப் பற்றி மேலும் அறிய ஆர்வமாக இருந்தால், நீங்கள் விவரங்களை சரிபார்க்கலாம் பின்வரும் இணைப்பு.