ગિટલેબે ચિંતાજનક સલામતીના મુદ્દાઓને ધ્યાનમાં રાખ્યા છે

ગિટલેબે ચિંતાજનક સલામતીના મુદ્દાઓને ધ્યાનમાં રાખ્યા છે

ગિટલેબ નવ ભૂલો માટે પેચ પ્રકાશિત કરે છે, જેમાં બે નિર્ણાયક તીવ્રતાનો સમાવેશ થાય છે, જેમાં ગંભીર ભૂલોને ધમકીવાળા કલાકારોને સત્તાધિકરણને બાયપાસ કરવાની મંજૂરી આપવામાં આવી હતી અને ડેટા એક્સ્ફિલ્ટરેશનપેચ તરફ દોરી શકે છે, જ્યારે ગિટલેબ વપરાશકર્તાઓને તેનો ઉપયોગ કરવા વિનંતી કરે છે.

ગિટલેબે તેની કમ્યુનિટિ એડિશન (સીઈ) અને એન્ટરપ્રાઇઝ એડિશન (ઇઇ) સોલ્યુશન્સને અસર કરતી નવ નબળાઈઓ લગાવી છે, અને વપરાશકર્તાઓને પેચને તરત જ લાગુ કરવા વિનંતી કરી છે.

પ્રકાશિત સુરક્ષા સલાહકારમાં, ગીટલેબે કહ્યું કે નવ ભૂલોમાં બે નિર્ણાયક તીવ્રતા છે, જે ધમકીવાળા કલાકારોને પ્રમાણીકરણને બાયપાસ કરવાની મંજૂરી આપે છે.

વપરાશકર્તાઓને શક્ય તેટલી વહેલી તકે તેમના ગિટલેબ સીઇ/ઇઇને 17.7.7, 17.8.5, અને 17.9.2 પર આવવા માટે લાવવા વિનંતી કરવામાં આવી છે. Gitlab.com પહેલેથી જ પેચ થયેલ છે, અને ગિટલેબ સમર્પિત ગ્રાહકો આપમેળે અપડેટ થઈ જશે, તેથી તેમના અંત પર કોઈ ક્રિયા જરૂરી નથી. જો કે, સ્વ-વ્યવસ્થાપિત સ્થાપનો ચલાવતા વપરાશકર્તાઓને પણ પેચ કરવાની જરૂર પડશે.

ઘટાડવું અને પેચિંગ

ગિટલેબે કહ્યું, “અમે ભારપૂર્વક ભલામણ કરીએ છીએ કે નીચે વર્ણવેલ મુદ્દાઓથી પ્રભાવિત સંસ્કરણ ચલાવતા તમામ ઇન્સ્ટોલેશન્સને વહેલી તકે નવીનતમ સંસ્કરણમાં અપગ્રેડ કરવામાં આવે છે.”

બે નિર્ણાયક તીવ્રતાની ભૂલોને સીવીઇ -2025-25291 અને સીવીઇ -2025-25292 તરીકે ટ્રેક કરવામાં આવે છે. તે બંને રૂબી-એસએએમએલ લાઇબ્રેરીમાં મળી આવ્યા હતા, જેનો ઉપયોગ એસએએમએલ સિંગલ સાઇન- (ન (એસએસઓ) ના પ્રમાણીકરણ માટે થાય છે જે દાખલા અથવા જૂથ સ્તરે છે. એક પ્રમાણિત હુમલાખોર, માન્ય સહી કરેલા એસએએમએલ દસ્તાવેજની with ક્સેસ સાથે, તે જ એસએએમએલ ઓળખ પ્રદાતા (આઈડીપી) પર્યાવરણ સાથે બીજા વપરાશકર્તાને ers ોંગ કરી શકે છે, અને તેથી તેમના ખાતામાં પ્રવેશ મેળવી શકે છે.

આ, બદલામાં, ડેટા એક્સફિલ્ટરેશન, વિશેષાધિકાર વધારવા અને વધુ તરફ દોરી શકે છે.

વપરાશકર્તાઓ કે જેઓ તરત જ પેચને લાગુ કરી શકતા નથી, તે ખાતરી કરે છે કે ગીટલેબ સ્વ-વ્યવસ્થાપિત ઉદાહરણો પરના બધા વપરાશકર્તાઓ પાસે 2 એફએ સેટ અપ છે (ઓળખ પ્રદાતા સ્તરે 2 એફએ મદદ કરશે નહીં). તેઓએ એસએએમએલ ટુ-ફેક્ટર બાયપાસ વિકલ્પને પણ અક્ષમ કરવો જોઈએ, અને સ્વત created- સર્જિત વપરાશકર્તાઓ માટે એડમિન મંજૂરીની વિનંતી કરવી જોઈએ.

ગિટલેબે ભારપૂર્વક જણાવ્યું હતું કે આને ફક્ત અસ્થાયી ઘટાડા તરીકે જોવું જોઈએ, અને આ મુદ્દાને કાયમી ધોરણે ધ્યાન આપવાનો એકમાત્ર રસ્તો પેચ લાગુ કરવો છે.

ગિટહબ કહે છે કે તેનું પ્લેટફોર્મ આ શોધથી પ્રભાવિત નથી, કારણ કે તે એક દાયકા કરતા વધુ પહેલાં રૂબી-એસએએમએલ લાઇબ્રેરીનો ઉપયોગ કરવાનું બંધ કરી દે છે, બ્લીપિંગ કમમ્પટર મળી.

ગિથબે જણાવ્યું હતું કે, “ગિથબ હાલમાં સત્તાધિકરણ માટે રૂબી-એસએએમએલનો ઉપયોગ કરતું નથી, પરંતુ સેમલ ઓથેન્ટિકેશન માટે ખુલ્લા સ્રોત લાઇબ્રેરીનો ઉપયોગ કરવાના હેતુથી લાઇબ્રેરીના ઉપયોગનું મૂલ્યાંકન કરવાનું શરૂ કર્યું,” ગિટુબે જણાવ્યું હતું.

ઝાપે સુધી બ્લીપિંગ કમ્યુટર

તમને પણ ગમશે

Exit mobile version