GitLab, birden fazla güvenlik açığını gidermek için kritik güncellemeler yayınladı; bunların en ciddisi (CVE-2024-6678), bir saldırganın belirli koşullar altında keyfi kullanıcılar olarak veri hatlarını tetiklemesine olanak tanıyor.
Bu sürüm, hem GitLab Community Edition (CE) hem de Enterprise Edition (EE) için 17.3.2, 17.2.5 ve 17.1.7 sürümlerine yöneliktir ve iki ayda bir (planlanmış) yayınlanan güvenlik güncellemelerinin bir parçası olarak toplam 18 güvenlik sorununu düzeltir.
9,9’luk kritik önem puanına sahip CVE-2024-6678 güvenlik açığı, bir saldırganın durdurma eylemi işinin sahibi olarak ortam durdurma eylemlerini yürütmesine olanak tanıyabilir.
Kusurun ciddiyeti, uzaktan istismar edilebilme potansiyeli, kullanıcı etkileşiminin olmaması ve istismar için gereken yetkilerin düşük olmasından kaynaklanıyor.
GitLab, sorunun CE/EE’nin 8.14’ten 17.1.7’ye kadar olan sürümlerini, 17.2’den 17.2.5’e kadar olan sürümleri ve 17.3’ten 17.3.2’ye kadar olan sürümleri etkilediği konusunda uyarıyor.
Aşağıda açıklanan sorunlardan etkilenen bir sürümü çalıştıran tüm kurulumların mümkün olan en kısa sürede en son sürüme yükseltilmesini önemle tavsiye ederiz. – GitLab
GitLab boru hatları, GitLab’in CI/CD (Sürekli Entegrasyon/Sürekli Teslimat) sisteminin bir parçası olan kodu oluşturmak, test etmek ve dağıtmak için kullanılan otomatik iş akışlarıdır.
Tekrarlayan görevleri otomatikleştirerek ve kod tabanındaki değişikliklerin tutarlı bir şekilde test edilmesini ve dağıtılmasını sağlayarak yazılım geliştirme sürecini kolaylaştırmak için tasarlanmıştır.
GitLab, son aylarda, Temmuz 2024’te CVE-2024-6385’i düzeltmek, Haziran 2024’te CVE-2024-5655’i düzeltmek ve Eylül 2023’te CVE-2023-5009’u düzeltmek de dahil olmak üzere, keyfi boru hattı yürütme güvenlik açıklarını birkaç kez ele aldı; hepsi kritik olarak derecelendirildi.
Bültende ayrıca, saldırganların hizmetleri kesintiye uğratmasına, yetkisiz komutlar yürütmesine veya hassas kaynakları tehlikeye atmasına olanak verebilecek 6,7 – 8,5 arasında puanlara sahip dört yüksek öneme sahip sorun listeleniyor. Sorunlar aşağıdaki gibi özetleniyor:
- CVE-2024-8640: Uygunsuz giriş filtrelemesi nedeniyle saldırganlar, YAML yapılandırması aracılığıyla bağlı bir Cube sunucusuna komutlar enjekte edebilir ve bu da potansiyel olarak veri bütünlüğünü tehlikeye atabilir. GitLab EE’yi 16.11’den itibaren etkiler.
- CVE-2024-8635: Saldırganlar, dahili kaynaklara istekte bulunmak ve dahili altyapıyı tehlikeye atmak için özel bir Maven Bağımlılık Proxy URL’si oluşturarak bir Sunucu Tarafı İstek Sahteciliği (SSRF) güvenlik açığından yararlanabilir. 16.8’den itibaren GitLab EE’yi etkiler.
- CVE-2024-8124: Saldırganlar büyük bir ‘glm_source’ parametresi göndererek bir DoS saldırısı başlatabilir, sistemi aşırı yükleyip kullanılamaz hale getirebilir. GitLab CE/EE’yi 16.4’ten itibaren etkiler.
- CVE-2024-8641: Saldırganlar, bir kurbanın GitLab oturum belirtecine erişmek için bir CI_JOB_TOKEN’ı kullanabilir ve bu sayede bir oturumu ele geçirebilirler. 13.7’den itibaren GitLab CE/EE’yi etkiler.
Güncelleme talimatları, kaynak kodu ve paketler için GitLab’in resmi indirme portalına göz atın. En son GitLab Runner paketleri burada mevcuttur.