GitLab publikuje aktualizacje dla swoich produktów

utworzone przez | gru 6, 2022 | Aktualizacje

ProduktGitLab Community Edition (CE) – wersje wcześniejsze niż 15.6.1, 15.5.5 i 15.4.6
GitLab Enterprise Edition (EE) — wersje wcześniejsze niż 15.6.1, 15.5.5 i 15.4.6
Numer CVECVE-2022-4206
Krytyczność8.1/10
CVSSAV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
OpisWe wszystkich wersjach skanera DAST API od wersji 1.6.50 do 2.0.102 wykryto problem wycieku poufnych informacji, ujawniający nagłówek Authorization w raporcie o lukach.
  
Numer CVECVE-2022-3820
Krytyczność6,5/10
CVSSAV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
OpisW GitLab CE/EE wykryto problem dotyczący wszystkich wersji począwszy od 12.9 przed 15.3.5, 15.4 przed 15.4.4 i 15.5 przed 15.5.2. Właściciel grupy może ominąć sprawdzanie autoryzacji zewnętrznej, jeśli jest włączone, aby uzyskać dostęp do repozytoriów git i rejestrów pakietów za pomocą tokenów wdrażania lub kluczy wdrażania.
  
Numer CVECVE-2022-4205
Krytyczność6,3/10
CVSSAV:N/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:L
OpisW GitLab EE/CE przed 15.6.1, 15.5.5 i 15.4.6 użycie gałęzi z nazwą szesnastkową mogło zastąpić istniejący skrót.
  
Numer CVECVE-2022-3902.
Krytyczność5,5/10
CVSSAV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N
OpisW GitLab wykryto problem dotyczący wszystkich wersji od 9.3 do 15.4.6, wszystkich wersji od 15.5 do 15.5.5, wszystkich wersji od 15.6 do 15.6.1. Opiekun projektu mógł zdemaskować tajne tokeny elementu webhook, przeglądając dzienniki po przetestowaniu elementu webhook.
  
Numer CVECVE-2022-4054
Krytyczność5,5/10
CVSSAV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N
OpisW GitLab wykryto problem dotyczący wszystkich wersji od 9.3 do 15.4.6, wszystkich wersji od 15.5 do 15.5.5, wszystkich wersji od 15.6 do 15.6.1. Opiekun projektu mógł ujawnić tajny token elementu webhook, zmieniając adres URL elementu webhook na punkt końcowy, który umożliwia przechwytywanie nagłówków żądań
  
Numer CVECVE-2022-3572
Krytyczność5,4/10
CVSSAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
OpisW GitLab CE/EE wykryto problem ze skryptami krzyżowymi, który dotyczy wszystkich wersji od 13.5 do 15.3.5, 15.4 przed 15.4.4 i 15.5 przed 15.5.2. Możliwe było wykorzystanie luki w ustawieniach integracji Jira Connect, która mogła doprowadzić do odbicia XSS, które umożliwiło atakującym wykonanie dowolnych działań w imieniu ofiar
  
AktualizacjaTAK
Linkhttps://about.gitlab.com/releases/2022/11/30/security-release-gitlab-15-6-1-released/#dast-api-scanner-exposes-authorization-headers-in-vulnerabilities