В GitLab CE/EE обнаружена уязвимость, затрагивающая все версии начиная с 8.14 до 16.0.8, все версии начиная с 16.1 до 16.1.3, все версии на…
В GitLab CE/EE обнаружена уязвимость, затрагивающая все версии начиная с 8.14 до 16.0.8, все версии начиная с 16.1 до 16.1.3, все версии начиная с 16.2 до 16.2.2. Была возможна атака ReDoS через отправку специально сформированных полезных данных, использующих AutolinkFilter, на конечную точку preview_markdown [1], [2]. Источники: - [1] https://gitlab.com/gitlab-org/gitlab/-/issues/415995 - [2] https://hackerone.com/reports/1959727
Продукт использует регулярное выражение с неэффективной, возможно экспоненциальной вычислительной сложностью в худшем случае, что ведёт к избыточному потреблению ресурсов CPU.
https://cwe.mitre.org/data/definitions/1333.html →Открыть в коллекции CWE →Злоумышленник может реализовать атаку на программу, использующую неэффективную реализацию регулярных выражений (Regex), подобрав входные данные, приводящие к крайне неблагоприятному сценарию работы Regex. Типичный крайний сценарий характеризуется экспоненциальным временем работы относительно размера входных данных. Это объясняется тем, что большинство реализаций использует недетерминированный конечный автомат (NFA) в качестве основы алгоритма Regex, поскольку NFA допускает обратный просмотр и тем самым поддерживает более сложные регулярные выражения.
https://capec.mitre.org/data/definitions/492.html →Открыть в коллекции CAPEC →