每月发布还介绍了一对存储的XSS缺陷
Gitlab修补了一个关键脆弱性这意味着在基于综合的注册期间无意间设置了静态密码 - 将帐户面临恶意收购的风险。
DevOps平台还修复了一对高严重性,存储的跨站点脚本(XSS)错误作为其一部分三月的每月安全释放。同样的更新还解决了9个中等严重性和五个低影响问题。
Gitlab用户已被敦促立即将其安装更新为最新版本,该版本为14.9.2、14.8.5和14.7.7.7.7.7.7.7.7.7。gitlab.com已经在运行一个修补版本。
关键凭证问题
关键缺陷被跟踪为CVE-2022-1162,看到了硬编码密码设置为注册的帐户Omniauth提供者。
漏洞的CVSS得分为9.1,影响Gitlab CE和EE 14.7版本,最高为14.7.7、14.8,最高14.8.5和14.9,最高14.9.2。
在内部发现该错误后,GitLab“为选定的用户执行了Gitlab.com密码的重置”,尽管它向用户保证,其调查显示“没有迹象表明用户或帐户已被妥协”。
存储的之一XSS问题 - CVE-2022-1175 - 允许攻击者由于“用户输入不正确的中和”,因此可以将HTML注入注释中。其他XSS缺陷(CVE-2022-1190)被指责为不当处理用户输入,允许滥用发行描述,评论和类似的多字里程碑参考。
这两个XS漏洞的CVSS得分为8.7。CVE-2022-1175的受影响版本为14.7.7,回到14.4,CVE-2022-1190回到8.3;以及所有14.8版的14.8.5版,加上所有14.9版的版本,均为14.9.2。
这些发现的信用分别是由于“ Joaxcar”和“ Ryhmnlfj”,黑客通过Gitlab的Hackerone报告了这些错误错误赏金程序
Gitlab还标记了CommonMarker,Matter Matter,Swagger,Go-Proxyproto和Deshise的安全更新,并设计影响Gitlab CE和EE版本的所有版本。
同时,Grafana的安全发布会影响所有版本的Gitlab Omnibus,而Python更新会影响GitLab图表的所有版本。
