GitLab, hem Community Edition (CE) hem de Enterprise Edition (EE) için saldırganların kötü amaçlı komut dosyaları yerleştirmesine ve hizmet reddi (DoS) saldırılarına neden olmasına olanak verebilecek kritik güvenlik açıklarını ele alan güncellenmiş sürümlerin yayınlandığını duyurdu.
Yayınlanan sürümler (16.10.1, 16.9.3 ve 16.8.5), GitLab'ın en yüksek güvenlik standartlarını sürdürme ve kullanıcılarını ortaya çıkan siber tehditlerden koruma yönünde devam eden çabalarının bir parçası olarak geliyor.
CVE-2023-6371: Wiki Sayfalarında Depolanan XSS Güvenlik Açığı
Bu güncellemede ele alınan en kritik sorunlardan biri, CVE-2023-6371 olarak tanımlanan Depolanmış Siteler Arası Komut Dosyası Çalıştırma (XSS) güvenlik açığıdır.
Ücretsiz CISO'nun Bir Sonraki İhlalden Kaçınma Kılavuzunu İndirin
SOC Ekibi, Ağ Güvenliği veya Güvenlik Yöneticisi veya CSO'dan mısınız? Bulut tabanlı, bütünleşik ağ güvenliğinin güvenliği nasıl iyileştirdiğini ve TCO'yu nasıl azalttığını öğrenmek için Perimeter Kılavuzunu indirin.
- Sıfır güven stratejisinin önemini anlayın
- Ağ güvenliği Kontrol Listesini tamamlayın
- Eski bir VPN'e güvenmenin neden artık geçerli bir güvenlik stratejisi olmadığını görün
- Bulut tabanlı bir ağ güvenliği çözümüne geçişin nasıl sunulacağına ilişkin öneriler alın
- Birleşik ağ güvenliğinin eski yaklaşımlara göre avantajlarını keşfedin
- Ağ güvenliğini en üst düzeye çıkaran araçları ve teknolojileri keşfedin
Perimeter 81'in bulut tabanlı, birleşik ağ güvenliği platformuyla değişen tehdit ortamına zahmetsizce uyum sağlayın.
Perimeter 81 Ücretsiz PDF Kılavuzunu İndirin
Bu kusur GitLab CE/EE'nin 16.8.5'ten önceki tüm sürümlerini, 16.9'dan 16.9.3'e ve 16.10'dan 16.10.1'e kadar olan sürümlerini etkilemişti. Saldırganlar, bir wiki sayfasına hazırlanmış bir veri yükleyerek bu güvenlik açığından yararlanabilir ve bu da kurbanlar adına keyfi eylemlerin gerçekleştirilmesine yol açabilir.
CVSS puanı 8,7 olan bu yüksek önemdeki sorun, veri bütünlüğü ve kullanıcı gizliliğine yönelik potansiyel risklerin altını çiziyor.
CVE-2023-6371'in keşfi, güvenlik açığını GitLab'ın HackerOne hata ödül programı aracılığıyla bildiren “yvvdwf” takma adlı bir kullanıcıya atfedildi.
GitLab'ın bu rapora anında yanıt vermesi ve ardından güvenlik açığına yönelik yama uygulaması, şirketin güvenliğe olan bağlılığını ve siber tehditleri belirleme ve azaltma konusunda işbirlikçi çabaların etkinliğini vurguluyor.
En son sürümde yamalanan bir diğer güvenlik açığı ise, saldırganların kötü amaçla hazırlanmış emojiler kullanarak hizmet reddine (DoS) neden olmasına olanak tanıyan orta önemde bir sorun olan CVE-2024-2818'dir.
Bu güvenlik açığı CVE-2023-6371 ile aynı sürümü etkilemiştir ve CVSS puanı 4,3'tür.
Kusur, Trend Micro'dan Quintin Crist tarafından rapor edildi ve siber güvenliğe topluluk katılımının önemi daha da vurgulandı.
Ek Güvenlik Önlemleri ve Öneriler
GitLab, bu güvenlik açıklarını gidermenin yanı sıra, PostgreSQL projesinin son sürümünün ardından PostgreSQL sürümlerini de 13.14 ve 14.11'e güncelledi.
Bu güncelleme, GitLab'ın güvenlikle ilgili olmayan yamalarının bir parçasıdır ve platformun kararlılığını ve performansını artırmayı amaçlayan çeşitli iyileştirmeler ve hata düzeltmelerini de içerir.
GitLab, etkilenen sürümleri çalıştıran tüm kullanıcıların, bu güvenlik açıklarıyla ilişkili riskleri azaltmak için mümkün olan en kısa sürede en son sürüme yükseltme yapmalarını önemle önerir.
Şirketin güvenliğe olan bağlılığı, düzenli olarak yayınladığı yamalar ve güncellemelerin yanı sıra kapsamlı güvenlik SSS'leri ve GitLab örneklerinin güvenliğine yönelik en iyi uygulamalarda da açıkça görülmektedir.
Güvenlik açıkları ve yayımlanan yamalar hakkında daha fazla bilgi için kullanıcıların GitLab'ın resmi güvenlik sürümü blog gönderilerini ve her bir güvenlik açığının ayrıntılarının sürümden 30 gün sonra kamuya açıklanacağı sorun izleyiciyi ziyaret etmeleri önerilir.
GitLab'ın güvenliğe yönelik proaktif yaklaşımı, siber güvenlik topluluğunun aktif katılımıyla birleştiğinde, platformun gelişen siber tehditlere karşı korunmasında çok önemli bir rol oynuyor.
Kullanıcıların, kurulumlarının güvenli olduğundan emin olmak için bilgi sahibi olmaları ve gerekli adımları atmaları tavsiye edilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & ikiitter.