GitLab, Community Edition (CE) ve Enterprise Edition (EE) için kritik güncellemelerin, özellikle de 17.7.1, 17.6.3 ve 17.5.5 sürümlerinin yayınlandığını duyurdu.
Bu güncellemeler, kendi kendini yöneten tüm GitLab kurulumlarında güvenliği ve istikrarı korumak için gereklidir ve hemen uygulanmalıdır.
Şirket, yamalı sürümü GitLab.com’da zaten kullanıma sunmuştur ve GitLab Dedicated müşterilerine herhangi bir işlem yapmamaları tavsiye edilir.
Yeni yayımlanan sürümler, GitLab’ın HackerOne hata ödül programı aracılığıyla belirlenen birkaçı da dahil olmak üzere önemli hata düzeltmelerini ve güvenlik açıklarını ele alıyor.
GitLab, güvenliğe olan bağlılığını vurguluyor ve kendi kendini yöneten tüm müşterilerini, örneklerini etkili bir şekilde korumak için en son sürümlere yükseltmeye teşvik ediyor.
Her bir güvenlik açığının ayrıntılı analizi, yayınlandıktan 30 gün sonra GitLab’ın sorun izleyicisinde halka açık olacaktır.
GitLab, yama sürümlerini hem ayda iki kez gerçekleşen planlı güncellemeleri hem de yüksek önemdeki güvenlik açıklarına yönelik geçici kritik yamaları içerecek şekilde yapılandırır.
Temel Güvenlik Düzeltmeleri
Bu sürümde yamalanan kritik güvenlik açıkları arasında şunlar yer alıyor:
- Olası Erişim Jetonunun Maruz Kalması: 17.4’ten 17.7.1’e kadar olan sürümlerde erişim belirteçlerinin belirli koşullar altında günlüğe kaydedilmesi riskini oluşturan orta önemde bir sorun (CVE-2025-0194).
- Destanların Döngüsel Referansı: Bu, kaynakların tükenmesine yol açabilir ve orta önemde bir DoS güvenlik açığı olarak sınıflandırılmıştır (CVE-2024-6324).
- Yetkisiz Sorun Manipülasyonu: Yetkisiz kullanıcıların genel projelerdeki sorunların durumunu değiştirmesine olanak tanıyan bir sorun (CVE-2024-12431).
- SAML Yapılandırmasının Yanlış Yönetimi: Bu güvenlik açığı, SAML aracılığıyla kullanıcı oluşturma sırasında harici sağlayıcı ayarlarının dikkate alınmamasını ve potansiyel olarak istenmeyen erişime izin verilmesini içeriyordu (CVE-2024-13041).
Yeni Özellikler ve Geliştirmeler
Güvenlik güncellemelerine ek olarak GitLab, 17.7.1 sürümünde içe aktarma işlevinde geliştirmeler sundu.
Bu yeni kullanıcı katkısı ve üyelik eşleme özelliği, içe aktarılan katkıları hedef örnekteki doğru kullanıcılarla eşlemek gibi gelişmiş içe aktarma sonrası işlemlere olanak tanır.
Yeni süreç, e-posta adreslerinden bağımsız olarak çalışarak kullanıcılara katkıları üzerinde daha fazla kontrol sağlıyor.
GitLab’ın kendi kendini yöneten ve özel müşterileri için, özellikle de istismarın kimliği doğrulanmış kullanıcı erişimi gerektirdiğinden, bu güvenlik açıklarının oluşturduğu riski anlamak çok önemlidir.
GitLab, kullanıcılara, sürüm 17.7.1 veya sonraki bir sürüme yükseltilene kadar içe aktarıcıları devre dışı bırakmalarını tavsiye ediyor. İçe aktarma özelliklerini devre dışı bırakma adımları basittir ve Yönetici ayarları aracılığıyla gerçekleştirilebilir.
Bu güvenlik açıklarıyla ilişkili potansiyel riskler göz önüne alındığında GitLab, tüm kullanıcıların en son yama sürümüne mümkün olan en kısa sürede yükseltme yapmasını şiddetle tavsiye eder.
Bu güncellemelere bağlı kalmak yalnızca örneğinizin güvenliğini sağlamakla kalmaz, aynı zamanda GitLab hizmetlerinin genel performansını ve güvenilirliğini de artırır.
ANY.RUN Threat Intelligence Lookup - Extract Millions of IOC's for Interactive Malware Analysis: Try for Free