GitLab, Community Edition (CE) ve Enterprise Edition (EE) için kritik güvenlik yamalarının yayınlandığını duyurdu.
Yeni yayımlanan 17.6.2, 17.5.4 ve 17.4.6 sürümleri, çeşitli yüksek önemdeki güvenlik açıklarını giderir ve GitLab, kendi kendini yöneten tüm kurulumların derhal yükseltilmesini şiddetle tavsiye eder.
GitLab.com’un zaten yamalı sürümü çalıştırdığını, GitLab’a özel müşterilerin herhangi bir işlem yapmasına gerek olmadığını belirtmekte fayda var.
GitLab, yama sürümleri için ikili bir yaklaşım benimseyerek ayda iki kez planlanmış güncellemeler ve kritik sorunlar için geçici yamalar sunar.
Şirket, GitLab yazılımının tüm yönleri için, özellikle de müşteri verilerini işleyenler için en yüksek güvenlik standartlarını korumanın önemini vurguluyor.
Kullanıcılar en son yama sürümlerine yükseltme yaparak GitLab örnekleri için optimum güvenliği sağlayabilirler.
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin
Ağ Hata Günlüğü (NEL) Başlıklarının Eklenmesi – CVE-2024-11274
Yeni güncellemelerde ele alınan kritik sorunlardan biri, Kubernetes proxy yanıtlarına Ağ Hata Günlüğü (NEL) başlıklarının eklenmesidir.
Bu güvenlik açığı GitLab CE/EE’nin 16.1’den 17.4.6’ya, 17.5’ten 17.5.4’e ve 17.6’dan 17.6.2’ye kadar tüm sürümlerini etkilemektedir. CVE-2024-11274 olarak tanımlanan bu güvenlik açığı, OAuth akışlarının kötüye kullanılması yoluyla oturum verilerinin sızmasına yol açarak önemli bir güvenlik riski oluşturabilir.
Sorun en son sürümde çözüldü ve GitLab, bu güvenlik açığının keşfedilmesini HackerOne hata ödül programı aracılığıyla “joaxcar” tarafından hazırlanan bir rapora bağlıyor.
Kimliği Doğrulanmamış İstekler Yoluyla Hizmet Reddi – CVE-2024-8233
Ele alınan diğer bir ciddi güvenlik açığı, bir taahhüt veya birleştirme isteğinde diff dosyaları için kimliği doğrulanmamış istekler gönderilerek yararlanılabilen Hizmet Reddi (DoS) saldırı vektörüdür.
Bu güvenlik açığı GitLab CE/EE’nin 9.4’ten 17.4.6’ya, 17.5’ten 17.5.4’e ve 17.6’dan 17.6.2’ye kadar tüm sürümlerini etkilemektedir. CVE-2024-8233 olarak tanımlanan bu sorun, bir saldırganın hizmetleri önemli ölçüde kesintiye uğratmasına olanak tanıyabilir. Artık en son yama sürümünde hafifletildi.
GitLab’ın güvenliğe olan bağlılığı, güvenlik açıklarının ele alınmasına yönelik şeffaf yaklaşımıyla vurgulanmaktadır.
Şirket, yamadan 30 gün sonra sorun izleyicisinde güvenlik açıkları hakkında ayrıntılı bilgi yayınlayarak kullanıcıların bilgili ve güvende kalmasına olanak tanıyor.
GitLab ortamının güvenliğini artırmak isteyenler için GitLab, blogu aracılığıyla ek kaynaklar ve en iyi uygulamaları sağlar.
GitLab’ın en son yama sürümü kritik güvenlik kusurlarını gideriyor ve kullanıcıların sistem bütünlüğünü sağlamak için mümkün olan en kısa sürede yükseltme yapmaları tavsiye ediliyor.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free