GitLab, yaygın olarak kullanılan DevOps platformunun Enterprise Edition (EE) ve Community Edition’da (CE) kritik bir güvenlik açığını (CVE-2023-5009) düzeltti. Bu kusur, bir tehdit aktörünün, işlem hatlarını başka bir kullanıcı olarak çalıştırmak için tarama yürütme ilkelerini kötüye kullanmasına olanak tanıyabilir.
Güvenlik açığı hakkında (CVE-2023-5009)
GitLab EE’de yazılım geliştiricisi ve hata avcısı Johan Carlsson (joaxcar) tarafından keşfedilen CVE-2023-5009, “doğrudan aktarımlar” ve 16.2.7’den önceki 13.12’den başlayan tüm sürümleri ve 16.3.4’ten önceki tüm sürümleri etkiler. Aynı zamanda “güvenlik politikaları” özellikleri de etkinleştirilir.
“Tarama yürütme politikası, GitLab projeleri için statik analiz ve güvenlik açığı taraması gibi yerleşik tarayıcıların yapılandırılmasına olanak tanıyor. Cycode güvenlik araştırması başkanı Alex Ilgayev, Help Net Security’ye verdiği demeçte, “Bu tarayıcılar, önceden tanımlanmış bir dizi izinle özel işlem hatlarında çalışıyor” dedi.
Güvenlik açığı, bir ay önce bildirilen ve düzeltilen başka bir güvenlik açığına (CVE-2023-3932) yönelik bir atlamadır.
“GitLab sorun izleyicisine ve kaynak koduna göre, herhangi bir kullanıcı ‘git config’ komutunu kullanarak politika dosyası yazarını değiştirerek bu güvenlik açığından kolayca yararlanabilir. Tarama, politika dosyasının son işleyicisinin kimliği aracılığıyla yapılıyor ve keyfi kullanıcıların izinleri etkili bir şekilde alınıyor,” diye ekledi Ilgayev.
“O zamandan beri GitLab, bu güvenlik taramalarını sınırlı izinlere sahip özel bir bot kullanıcısı kullanarak yürütme mekanizmasını güncelledi. GitLab, atlamayla ilgili resmi bilgi yayınlamasa da, GitLab kaynak kodunu inceleyerek, atlamanın, bot kullanıcısını gruptan çıkarmayı ve önceki güvenlik açığı akışının yeniden yürütülmesine izin vermeyi içerdiği görülüyor.”
Azaltma
GitLab, GitLab Community Edition (CE) ve Enterprise Edition (EE) için sabit sürümler yayınladı.
“Tüm GitLab kurulumlarının derhal bu sürümlerden birine yükseltilmesini şiddetle tavsiye ediyoruz. GitLab.com zaten yamalı sürümü çalıştırıyor,” dedi GitLab’ın kıdemli uygulama güvenliği mühendisi Nick Malcolm.
Yükseltme imkansızsa Malcolm, “doğrudan aktarımlar” veya “güvenlik politikaları” özelliğinin (veya her ikisinin) devre dışı bırakılmasını önerdi.
Bu yılın başlarında GitLab, Git’te Community Edition ve Enterprise Edition’ı etkileyen CVE-2022-41903 ve CVE-2022-23521 güvenlik sorunlarını giderdi.