GitLab, Community Edition (CE) ve Enterprise Edition’daki (EE) kritik bir rastgele şube işlem hattı yürütme kusuru da dahil olmak üzere birden fazla kusuru gidermek için güvenlik güncellemeleri yayınladı.
Şu şekilde takip edilen güvenlik açığı: CVE-2024-9164yetkisiz kullanıcıların bir veri havuzunun herhangi bir dalında Sürekli Entegrasyon/Sürekli Teslimat (CI/CD) işlem hatlarını tetiklemesine olanak tanır.
CI/CD işlem hatları, kod oluşturma, test etme ve dağıtma gibi görevleri gerçekleştiren, normalde yalnızca uygun izinlere sahip kullanıcıların erişebildiği otomatikleştirilmiş süreçlerdir.
Dal korumalarını aşabilen bir saldırgan, potansiyel olarak kod yürütme gerçekleştirebilir veya hassas bilgilere erişim sağlayabilir.
CVSS v3.1 puanı 9,6 olan ve kritik olarak derecelendirilen sorun, 12.5’ten 17.2.8’e, 17.3’ten 17.3.4’e ve 17.4’ten 17.4.1’e kadar tüm GitLab EE sürümlerini etkiliyor. .
GitLab kullanıcılarının yükseltme hedefleri olan 17.4.2, 17.3.5 ve 17.2.9 sürümlerinde yamalar kullanıma sunuldu.
GitLab’ın güvenlik bülteni, “Aşağıda açıklanan sorunlardan etkilenen bir sürümü çalıştıran tüm kurulumların mümkün olan en kısa sürede en son sürüme yükseltilmesini önemle tavsiye ederiz” uyarısında bulunuyor.
GitLab Dedicated müşterilerinin bulutta barındırılan örnekleri her zaman mevcut en son sürümü çalıştırdığı için herhangi bir işlem yapmasına gerek olmadığı açıklandı.
CVE-2024-9164 ile birlikte en son GitLab sürümleri aşağıdaki güvenlik sorunlarını ele almaktadır:
- CVE-2024-8970: Saldırganların işlem hatlarını başka bir kullanıcı olarak tetiklemesine olanak tanıyan yüksek önem dereceli keyfi kullanıcı kimliğine bürünme kusuru.
- CVE-2024-8977: Analitik Kontrol Panelindeki yüksek önem derecesine sahip SSRF hatası, örnekleri SSRF saldırılarına karşı savunmasız hale getiriyor.
- CVE-2024-9631: Çakışmalı birleştirme isteklerinin farkları görüntülenirken performansın yavaşlamasına neden olan yüksek önem dereceli kusur.
- CVE-2024-6530: OAuth sayfasında, OAuth yetkilendirmesi sırasında siteler arası komut dosyası çalıştırmaya izin veren yüksek önem derecesine sahip HTML ekleme güvenlik açığı.
- CVE-2024-9623, CVE-2024-5005, CVE-2024-9596: Arşivlenmiş depolara dağıtılan anahtarların dağıtılması, konuk kullanıcıların proje şablonlarını API aracılığıyla ifşa etmesi ve GitLab örnek sürümünün yetkisiz kullanıcılara ifşa edilmesi dahil olmak üzere düşük ila orta önem derecesine sahip kusurlar.
GitLab işlem hatlarının son zamanlarda platform ve kullanıcıları için sürekli bir güvenlik açıkları kaynağı olduğu kanıtlandı.
GitLab, geçen ay CVE-2024-6678, Temmuz ayında CVE-2024-6385 ve Haziran ayında CVE-2024-5655 dahil olmak üzere, hepsi kritik olarak derecelendirilen keyfi ardışık düzen yürütme güvenlik açıklarını bu yıl birçok kez ele aldı.
Talimatlar, kaynak kodu ve paketler için GitLab’ın resmi indirme portalına bakın. En yeni GitLab Runner paketlerini burada bulabilirsiniz.