GitLab, sürekli entegrasyon ve sürekli dağıtım (CI/CD) kanallarını herhangi bir kullanıcı olarak çalıştırmak için kullanılabilecek kritik bir güvenlik açığı da dahil olmak üzere 14 güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.
GitLab Community Edition (CE) ve Enterprise Edition’ı (EE) etkileyen zayıf noktalar 17.1.1, 17.0.3 ve 16.11.5 sürümlerinde giderilmiştir.
Güvenlik açıklarının en ciddi olanı CVE-2024-5655 (CVSS puanı: 9.6), bu da kötü niyetli bir aktörün belirli koşullar altında başka bir kullanıcı olarak bir boru hattını tetiklemesine izin verebilir.
Aşağıdaki CE ve EE sürümlerini etkiler:
- 17.1 17.1.1’den önce
- 17.0.3’ten önceki 17.0 ve
- 16.11.5’ten önceki 15.8
GitLab, düzeltmenin iki önemli değişiklik getirdiğini, bunun sonucunda GraphQL kimlik doğrulamasının CI_JOB_TOKEN kullanılarak varsayılan olarak devre dışı bırakıldığını ve birleştirme isteğinin önceki hedef dalı birleştirildikten sonra yeniden hedeflendiğinde boru hatlarının artık otomatik olarak çalışmayacağını söyledi.
En son sürümün bir parçası olarak düzeltilen diğer önemli kusurlardan bazıları aşağıda listelenmiştir:
- CVE-2024-4901 (CVSS puanı: 8.7) – Saklanan bir XSS güvenlik açığı, kötü amaçlı taahhüt notlarına sahip bir projeden içe aktarılabilir
- CVE-2024-4994 (CVSS puanı: 8.1) – GitLab’ın GraphQL API’sine yönelik bir CSRF saldırısı, keyfi GraphQL mutasyonlarının yürütülmesine yol açtı
- CVE-2024-6323 (CVSS puanı: 7,5) – Küresel arama özelliğinde, halka açık bir proje içindeki özel bir depodan hassas bilgilerin sızmasına izin veren bir yetkilendirme kusuru
- CVE-2024-2177 (CVSS puanı: 6,8) – Bir saldırganın, hazırlanmış bir yük aracılığıyla OAuth kimlik doğrulama akışını kötüye kullanmasına olanak tanıyan bir çapraz pencere sahteciliği güvenlik açığı
Kusurların aktif olarak kullanıldığına dair bir kanıt olmasa da, kullanıcıların potansiyel tehditleri azaltmak için yamaları uygulamaları tavsiye ediliyor.