GitLab, Community Edition (CE) ve Enterprise Edition’da (EE) çalışma alanı oluştururken rastgele dosyalar yazmak için kullanılabilecek kritik bir güvenlik açığını gidermek için bir kez daha düzeltmeler yayınladı.
Şu şekilde izlendi: CVE-2024-0402Güvenlik açığının CVSS puanı maksimum 10 üzerinden 9,9’dur.
“GitLab CE/EE’de, 16.5.8’den önceki 16.0, 16.6.6’dan önceki 16.6, 16.7.4’ten önceki 16.7 ve 16.8.1’den önceki 16.8’in tüm sürümlerini etkileyen ve kimliği doğrulanmış bir kullanıcının yazmasına olanak tanıyan bir sorun keşfedildi GitLab, 25 Ocak 2024’te yayınlanan bir danışma belgesinde şunları söyledi: “Bir çalışma alanı oluştururken dosyaları GitLab sunucusundaki rastgele konumlara aktarın.”
Şirket ayrıca hataya yönelik yamaların 16.5.8, 16.6.6, 16.7.4 ve 16.8.1’e desteklendiğini de belirtti.
Ayrıca GitLab tarafından, düzenli ifade hizmet reddine (ReDoS), HTML enjeksiyonuna ve bir kullanıcının genel e-posta adresinin RSS beslemesi etiketleri aracılığıyla ifşa edilmesine yol açabilecek dört orta düzeyli kusur da çözüldü.
En son güncelleme, DevSecOps platformunun iki kritik eksikliği kapatmak için düzeltmeler göndermesinden iki hafta sonra geldi; bunlardan biri herhangi bir kullanıcı etkileşimi gerektirmeden hesapları ele geçirmek için kötüye kullanılabilecek bir eksiklikti (CVE-2023-7028, CVSS puanı: 10,0).
Kullanıcıların, olası riskleri azaltmak için kurulumları mümkün olan en kısa sürede yamalı sürüme yükseltmeleri önerilir. GitLab.com ve GitLab Dedicated ortamları zaten en son sürümü çalıştırıyor.