Technology

GitLab mempercepat rilis perbaikan kerentanan – Keamanan – Perangkat Lunak

GitLab minggu lalu mengeluarkan tambalan darurat yang mencakup 16 kerentanan, salah satunya diberi peringkat risiko kritis, bersama dengan tiga tingkat keparahan tinggi.

Untuk memperbaiki kerentanan, organisasi mengeluarkan rilis di luar siklus versi 15.1.1, 15.0.4 dan 14.10.5 untuk GitLab Community Edition (CE) dan Enterprise Edition (EE), dengan mengatakan “sangat merekomendasikan bahwa semua GitLab instalasi ditingkatkan ke salah satu versi ini segera”.

Kerentanan kritis, membawa skor Sistem Skor Kerentanan Umum 9,8, adalah CVE-2022-2185, ditemukan oleh anggota HackerOne “vakzz”.

Penasihat menyatakan bahwa “pengguna yang berwenang dapat mengimpor proyek jahat yang mengarah ke eksekusi kode jarak jauh”.

Ini pada dasarnya adalah bug injeksi perintah yang timbul dari netralisasi elemen perintah yang tidak tepat.

Tiga bug berperingkat tinggi adalah:

  • CVE-2022-2235 – masalah sanitasi di pelacak masalah eksternal GitLab EE, yang memungkinkan penyerang melakukan skrip lintas situs melalui tautan ZenTao yang berbahaya;
  • CVE-2022-2230 – Kerentanan skrip lintas situs yang tersimpan di halaman pengaturan proyek GitLab CC/EE, memungkinkan penyerang untuk mengeksekusi JavaScript sewenang-wenang atas nama korban; dan
  • CVE-2022-2229 – bug otorisasi di edisi komunitas dan perusahaan, yang memungkinkan penyerang mengekstrak nilai variabel yang tidak dilindungi dari proyek.

GitLab.com sudah menjalankan versi yang ditambal.

Posted By : pengeluaran hk hari ini 2021