Popüler kaynak kodu yönetimi platformu GitLab, Avustralya saatiyle cuma günü, biri kritik önem derecesine sahip olmak üzere beş güvenlik açığına karşı yamalandı.
Yamalar GitLab’ın hem kurumsal hem de topluluk sürümleri için geçerlidir.
Kritik güvenlik açığı CVE-2024-0402’dir ve CVSS puanı 9,9’dur.
GitLab çalışanı Joern Schneeweisz tarafından keşfedilen hata, “kimliği doğrulanmış bir kullanıcının bir çalışma alanı oluştururken GitLab sunucusundaki rastgele konumlara dosya yazmasına olanak tanıyor”.
Bu, bir saldırganın kötü amaçlı yazılım dağıtmak ve veri çalmak için bu güvenlik açığından yararlanabileceği anlamına gelir.
GitLab, tavsiye belgesinde güvenlik açığının 16.8 sürümünde düzeltildiğini belirterek, “16.0’dan önceki 16.5.8, 16.6’dan önceki 16.6.6, 16.7.4’ten önceki 16.7 ve 16.8.1’den önceki tüm sürümleri” etkilediğini belirtti. 1; düzeltme ayrıca 16.5.8 sürümüne de desteklendi.
Bu ayın başlarında GitLab, kritik bir hesap devralma hatasını giderdi.
Geçen haftaki sürümde düzeltilen dört orta dereceli güvenlik açığı şunlardır:
- CVE-2023-6159 – Cargo bildirimindeki kötü amaçlı bir düzenli ifadenin tetiklediği hizmet reddi;
- CVE-2023-5933 – Kullanıcı adının hatalı giriş temizliği, rastgele API PUT isteklerine izin veriyor;
- CVE-2023-5612 – Kullanıcı e-postalarının Etiketler RSS beslemesi yoluyla açıklanması; Ve
- CVE-2024-0456 – Yetkisiz bir saldırgan, herhangi bir kullanıcıyı bir projedeki birleştirme isteklerine atayabilir.
İki üçüncü taraf paketi olan libxml2 kitaplığı ve redis de güvenlik açıklarına karşı yamalanmıştır.