GitLab, güvenlik açıklarını ve hatalarını gidermek için Community Edition (CE) ve Enterprise Edition (EE) genelinde kritik yama güncellemeleri yayınladı. GitLab kritik yama sürümü, hem GitLab Community Edition hem de Enterprise Edition için hayati güncellemeler içeriyor. Bu güncellemeler, etkilenen GitLab örneklerinin bütünlüğünü tehlikeye atabilecek yüksek öneme sahip sorunları gidermek için tasarlanmıştır. En son sürümler (17.3.2, 17.2.5 ve 17.1.7) çeşitli güvenlik açıklarını azaltmayı amaçlayan kapsamlı bir düzeltme ve geliştirme setiyle birlikte gelir.
Etkilenen sürümleri çalıştıran tüm kullanıcıların bu güvenlik açıklarına karşı koruma sağlamak için GitLab örneklerini derhal yükseltmeleri şiddetle tavsiye edilir. Özellikle, GitLab.com bu kritik düzeltmeleri içerecek şekilde zaten güncellendi. GitLab Dedicated kullanan müşteriler için acil bir işlem gerekmez.
GitLab Kritik Yama Birden Fazla Güvenlik Açığını Düzeltiyor
GitLab, güvenlik ve hata ile ilgili sorunları ele almak için iki ana yama sürümü türü kullanır: planlanmış sürümler ve özel kritik yamalar. Planlanmış sürümler ayda iki kez ikinci ve dördüncü Çarşamba günü gerçekleşirken, özel kritik yamalar yüksek önem derecesine sahip güvenlik açıklarına yanıt olarak yayınlanır. Güvenlik düzeltmeleri de dahil olmak üzere bu sürümlerle ilgili ayrıntılar belgelenir ve GitLab’in sorun izleyicisinde yayından 30 gün sonra kamuya açık hale getirilir.
En son GitLab kritik yama sürümü, birkaç kritik ve yüksek önem derecesine sahip güvenlik açığı için düzeltmeler içerir. Bu sorunlar, kritikten düşüğe kadar değişen önem derecelerine göre kategorilere ayrılmıştır. Aşağıda ele alınan temel güvenlik açıklarının bir özeti bulunmaktadır.
Tüm Önemli GitLab Güvenlik Açıkları Düzeltildi
Kritik bir güvenlik açığı, bir saldırganın belirli koşullar altında keyfi bir kullanıcı olarak bir boru hattını tetiklemesine izin verdi. Bu sorun, 8.14’ten 17.1.7’ye, 17.2’den 17.2.5’e ve 17.3’ten 17.3.2’ye kadar olan tüm GitLab sürümlerini etkiliyor. En son sürümde ele alındı ve CVE-2024-6678 olarak atandı. Bir diğer yüksek öneme sahip sorun, bağlı bir Cube sunucusuna kod enjeksiyonuna izin verebilecek eksik giriş filtrelemesini içeriyordu. Bu güvenlik açığı, 16.11’den 17.1.7’ye, 17.2’den 17.2.5’e ve 17.3’ten 17.3.2’ye kadar olan sürümleri etkiliyor ve CVE-2024-8640 olarak atandı.
Ayrı bir yüksek öneme sahip güvenlik açığı, saldırganların özel bir Maven Bağımlılık Proxy URL’si kullanarak dahili kaynaklara istekte bulunmalarını sağlayarak sunucu tarafı istek sahteciliğine izin verdi. Bu, 16.8 ila 17.1.7, 17.2 ila 17.2.5 ve 17.3 ila 17.3.2 sürümlerini etkiler ve bunlara CVE-2024-8635 atanmıştır. Ayrıca, büyük bir glm_source parametresi göndermek hizmet reddi ile sonuçlanabilir. Bu, 16.4 ila 17.1.7, 17.2 ila 17.2.5 ve 17.3 ila 17.3.2 sürümlerini etkiler ve CVE-2024-8124 altında listelenmiştir.
Orta şiddette bir sorun, bir saldırganın kurbanın CI_JOB_TOKEN’ını kullanarak GitLab oturum belirtecini elde etmesine izin verdi ve 13.7 ila 17.1.7, 17.2 ila 17.2.5 ve 17.3 ila 17.3.2 sürümlerini etkiledi ve CVE-2024-8641 altında belgelendi. Başka bir orta şiddette güvenlik açığı, kimliği doğrulanmış kullanıcıların CI/CD şablonu dahil etme yoluyla değişken üzerine yazma korumasını atlatmasına izin verdi. Bu sorun, 17.2 ila 17.2.5 ve 17.3 ila 17.3.2 sürümlerini etkiler ve CVE-2024-8311 olarak tanımlanır.
Konuklar, 11.2 ila 17.1.7, 17.2 ila 17.2.5 ve 17.3 ila 17.3.2 sürümlerini etkileyen ve CVE-2024-4660 olarak atanan grup şablonlarını kullanarak özel projelerin tam kaynak koduna erişebilir. Ayrıca, IdentitiesController, saldırganların JWT kimlik doğrulaması yapılandırıldığında talep edilmeyen sağlayıcı kimliklerini bağlamasına izin verdi ve 16.9.7 ila 17.1.7, 17.2 ila 17.2.5 ve 17.3 ila 17.3.2 sürümlerini etkiledi.
repo/tree/ içindeki açık yönlendirmeler ve kalıcı bağlantı uç noktalarının serbest bırakılması, OAuth akışını bozarak hesap devralınmasına izin verebilir. Bu sorunlar 11.1 ila 17.1.7, 17.2 ila 17.2.5 ve 17.3 ila 17.3.2 sürümlerini etkiler ve sırasıyla CVE-2024-4283 ve CVE-2024-4612 olarak atanır. Başka bir orta şiddetteki güvenlik açığı, Yönetici Grubu Üyesi izinlerine sahip kullanıcıların rollerini yükseltmelerine izin verdi. Bu, 16.6 ila 17.1.7, 17.2 ila 17.2.5 ve 17.3 ila 17.3.2 sürümlerini etkiler ve CVE-2024-8631 olarak belgelenmiştir.
Saldırganlar, uygun izinler olmadan değişkenleri sızdırmak için isteğe bağlı DAST taramalarını değiştirebilir ve 13.3 ila 17.1.7, 17.2 ila 17.2.5 ve 17.3 ila 17.3.2 sürümlerini etkileyebilir ve CVE-2024-2743 altında listelenmiştir. Başka bir orta şiddetteki sorun, kullanıcı parolalarının depo ayna yapılandırmalarından ifşa edilmesiyle ilgiliydi ve 15.10 ila 17.1.7, 17.2 ila 17.2.5 ve 17.3 ila 17.3.2 sürümlerini etkiledi ve CVE-2024-5435 olarak tanımlandı.
Konuk kullanıcılar, izinlere aykırı olarak yayın Atom uç noktası üzerinden taahhüt bilgilerine erişebilir. Bu güvenlik açığı, CVE-2024-6389 olarak belgelenen 17.0 ila 17.1.7, 17.2 ila 17.2.5 ve 17.3 ila 17.3.2 sürümlerini etkiler. Ek olarak, bağımlılık proxy kimlik bilgileri, GraphQL günlüklerinde düz metin olarak kaydedildi ve 16.5 ila 17.1.7, 17.2 ila 17.2.5 ve 17.3 ila 17.3.2 sürümlerini etkiledi ve CVE-2024-4472 olarak atandı.
Düşük önem derecesine sahip bir sorun, hazırlanmış bir URL’nin kurbanı saldırgan tarafından kontrol edilen bir uygulamaya güvenmeye kandırmasına izin verdi. Bu, CVE-2024-6446 altında listelenen 17.1 ila 17.1.7, 17.2 ila 17.2.5 ve 17.3 ila 17.3.2 sürümlerini etkiler. Yetkisiz grup üyeleri, 16.7 ila 17.1.7, 17.2 ila 17.2.5 ve 17.3 ila 17.3.2 sürümlerini etkileyen ve CVE-2024-6685 olarak belgelenen grup yürütücülerinin bilgilerine erişebilir.
Yeni sürümler ayrıca birkaç hata düzeltmesi ve iyileştirme içerir. Sürüm 17.3.2, OpenSSL güncellemelerinin geri aktarımlarını, RTE’de görüntü yeniden boyutlandırma düzeltmelerini, API proje listeleme sorunlarını ve Sidekiq kararlılığı ve oluşturucu görüntü kullanımında iyileştirmeleri içerir. Sürüm 17.2.5, varlık görüntü oluşturma, Google Cloud gems güncellemeleri ve Geo-Replication ayrıntıları ve iş yapıtı sorguları için geri aktarımlar içerir. Sürüm 17.1.7, Geo-Replication görünüm düzeltmeleri, iş yapıtı sorgu zaman aşımları ve oluşturucu görüntülerine yönelik güncelleştirmeler için geri aktarımlar içerir.
Çözüm
Son zafiyetlere ve hatalara karşı koruma sağlamak için, GitLab Community Edition ve Enterprise Edition kullanıcılarının tümünün yeni yayınlanan sürümlerden birine güncelleme yapması şiddetle önerilir. GitLab kritik yama güncellemeleri hakkında ayrıntılı rehberlik için lütfen güncelleme sayfasına ve Runner güncelleme sayfasına bakın.
Gelecekteki GitLab kritik yama sürümleri hakkında güncel kalmak için kullanıcılar GitLab’ın yama sürümü RSS akışına abone olabilir veya doğrudan bildirimler için Bize Ulaşın sayfasını ziyaret edebilir. GitLab güvenliğe ve istikrara adanmışlığını sürdürüyor ve bu kritik güncellemeler şirketin tüm örneklerinde yüksek güvenlik standartlarını sürdürme konusundaki devam eden bağlılığını yansıtıyor.