GITLAB, Tehdit Manzarasına hakim olan üç yüksek riskli kusurla Topluluk Sürümü (CE) ve Enterprise Edition (EE) platformunda 11 güvenlik açığını ele alan kritik güvenlik yamaları yayınladı.
18.0.1, 17.11.3 ve 17.10.7 sürümlerinin koordineli yayınlanması, DevOps platformu kaynak tükenmesi, kimlik doğrulama baypasları ve veri maruz kalma riskleri yoluyla sistemleri istikrarsızlaştırabilecek birden fazla saldırı vektörüyle yüzleşir.
Bu güvenlik güncellemesi, GitLab’ın 2025’teki en kapsamlı iyileştirme çabasını temsil ederek omnibus, kaynak kodu ve dümen grafik kurulumları dahil tüm dağıtım modellerini etkiliyor.
.png
)
En şiddetli güvenlik açığı (CVE-2025-0993), kimlik doğrulamalı saldırganların, CVSS v3.1 ölçeğinde 7.5 puan alan korunmasız büyük bir blob uç noktası ile sunucu kaynak tükenmesini tetiklemelerini sağlar.
Bu yüksek şiddetli kusur, yamalı sürümlerden önceki tüm kurulumları etkiler ve tehdit aktörlerinin tekrar tekrar büyük boyutlu veri yüklerini göndererek sistemleri bunaltmalarını sağlar.
Gitlab’ın güvenlik ekibi, güvenlik açığının korunmasız ortamlarda uzun süreli kesinti sürelerini sürdürebileceğini doğruladı.
Kubernetes entegrasyonu ve not konumlandırma sistemlerinde iki ilave orta-şiddetli DOS vektörü tanımlanmıştır.
CVE-2025-3111, yetersiz girdi validasyonu yoluyla kümeleri sınırsız jeton üretim saldırılarına maruz bırakırken, CVE-2025-2853, saldırganların hizmet kullanılabilirliğini bozacak değersiz not konumlarını kullanmasına izin verir.
Bu güvenlik açıkları, altyapı katmanlarını hedefleyen çok yönlü saldırıları konteyner düzenlemesinden uygulama düzeyinde veri işlemesine kadar sağlıyor.
Discord Webhook entegrasyonları (CVE-2024-7803) ile dördüncü bir DOS yolu ortaya çıktı, burada kötü biçimlendirilmiş yükler kritik alt sistemleri çökertebilir.
Güvenlik araştırmacıları, bu güvenlik açığının DevOps ortamlarındaki üçüncü taraf platform entegrasyonlarından gelen büyüyen saldırı yüzeyini vurguladığını belirtiyor.
Kimlik doğrulama baypasları ve veri maruziyeti
DOS tehditlerinin ötesinde, güncelleme, belirli koşullar altında iki faktörlü kimlik doğrulama gereksinimlerine değiştirilmiş yanıtlara izin veren bir SAML doğrulama zayıflığı olan CVE-2024-12093 de dahil olmak üzere çeşitli kimlik doğrulama kusurlarını ele alıyor.
Bu orta yüzlük güvenlik açığı, 11.1 ila 17.10 sürümlerini etkiler ve hazırlanmış kimlik sağlayıcı yanıtları yoluyla hesap devralmasını sağlayabilir.
Yamalı sürüm ayrıca, saldırganların değişken oluşturma sırasında HTTP yanıtlarını analiz ederek maskelenmiş CI/CD değişkenlerini ortaya çıkarabileceği CVE-2025-4979’u da çözer.
Bu bilgi açıklama kusuru potansiyel olarak API anahtarları ve dağıtım jetonları gibi hassas kimlik bilgilerini ortaya çıkarır.
Eşzamanlı olarak, CVE-2025-0679, kısmen gizlenmesi gereken tam e-posta adreslerini ortaya çıkaran ve kimlik avı ve sosyal mühendislik riskleri yaratan bir UI gözetimini giderir.
Düşük şiddetli güvenlik açıkları, gizli birleştirme isteklerinde şube adı karışıklığı sağlayan CVE-2024-9163 ve CVE-2025-1110 içerir.
Daha az kritik olmakla birlikte, bu kusurlar karmaşık DevOps iş akışlarında kalıcı yetkilendirme zorlukları göstermektedir.
Azaltma stratejisi ve yükseltme protokolleri
GitLab, bildirilen tüm güvenlik açıkları için düzeltmeler içeren 17.10.7, 17.11.3 ve 18.0.1 ile yamalı sürümlere derhal yükseltmeleri zorunlu kılar.
Platform, bu sürümün acil iyileştirme süreçleri yerine planlanan güncelleme döngüsünü takiben iki aylık yama kadansını korur.
Güvenlik ekipleri, güncellemeler uyguladıktan sonra bile Kubernetes küme yapılandırmalarını, Webhook entegrasyonlarını ve SAML uygulamalarını incelemeye öncelik vermelidir.
GITLab, SSRF koruması için giden izin verilerin uygulanmasını ve ikincil önlemler olarak CI/CD değişken izinlerinin denetlenmesini önerir.
Organizasyon, harici araştırmacılara yatırılan on bir güvenlik açığı ile hackerone Bug Bounty programından yararlanmaya devam ediyor.
Otomatik dağıtım boru hatlarını çalıştıran işletmeler için GITLAB, fIPS uyumlu yapılarından kapsayıcı görüntülerinin doğrulanmasını ve koşucu konfigürasyonlarını temel platform yükseltmeleriyle aynı anda güncellemeyi vurgular.
Güvenlik güncellemesi, Elasticsearch sorgusu optimizasyonları ve NGINX modülü sürüm hizalaması dahil altyapı iyileştirmeleri ile çakışır.
DevOps platformları giderek daha fazla saldırı hedefi haline geldikçe, bu koordineli yama sürümü, yazılım tedarik zincirlerinde sürekli güvenlik açığı yönetimine yönelik kritik ihtiyacın altını çizmektedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!