GitLab, iki kritik güvenlik açığını gidermek için hem Topluluk hem de Kurumsal Sürüm için güvenlik güncellemeleri yayınladı; bunlardan biri, kullanıcı etkileşimi olmadan hesapların ele geçirilmesine izin veriyor.
Satıcı, DevSecOps platformunun tüm savunmasız sürümlerinin mümkün olan en kısa sürede güncellenmesini şiddetle tavsiye eder (kendi kendine barındırılan kurulumlar için manuel güncelleme gerekir) ve “belirli bir dağıtım türü (çoklu veri yolu, kaynak kodu, dümen şeması vb.) Bir üründen bahsediliyor, bu her türün etkilendiği anlamına geliyor.”
Güvenlik açığı ayrıntıları
GitLab’ın yamaladığı en kritik güvenlik sorunu, maksimum ciddiyet puanına (10 üzerinden 10) sahiptir ve CVE-2023-7028 olarak izlenmektedir. Başarılı kullanım herhangi bir etkileşim gerektirmez.
Parola sıfırlama isteklerinin rastgele, doğrulanmamış e-posta adreslerine gönderilmesine ve hesabın ele geçirilmesine izin veren bir kimlik doğrulama sorunudur. İki faktörlü kimlik doğrulama (2FA) etkinse şifreyi sıfırlamak mümkündür ancak başarılı oturum açmak için ikinci kimlik doğrulama faktörüne hala ihtiyaç vardır.
Platform genellikle özel kodları, API anahtarlarını ve diğer hassas verileri barındırmak için kullanıldığından, GitLab hesabının ele geçirilmesinin kuruluş üzerinde önemli bir etkisi olabilir.
Diğer bir risk ise, GitLab’ın CI/CD (Sürekli Entegrasyon/Sürekli Dağıtım) için kullanıldığı sırada saldırganların canlı ortamlara kötü amaçlı kod yerleştirerek depoları tehlikeye atabileceği tedarik zinciri saldırılarıdır.
Sorun, HackerOne hata ödül platformu aracılığıyla güvenlik araştırmacısı ‘Asterion’ tarafından keşfedilip GitLab’a bildirildi ve 1 Mayıs 2023’te 16.1.0 sürümüyle tanıtıldı.
Aşağıdaki sürümler etkilenir:
- 16.1 16.1.5’ten önce
- 16.2 16.2.8’den önce
- 16.3 16.3.6’dan önce
- 16.4 16.4.4’ten önce
- 16.5, 16.5.6’dan önce
- 16.6 16.6.4’ten önce
- 16.7 16.7.2’den önce
Kusur GitLab 16.7.2, 16.5.6 ve 16.6.4 sürümlerinde giderildi ve düzeltme ayrıca 16.1.6, 16.2.9 ve 16.3.7’ye de desteklendi.
GitLab, CVE-2023-7028’in aktif olarak kullanıldığı herhangi bir vaka tespit etmediğini ancak savunucular için aşağıdaki uzlaşma işaretlerini paylaştığını söyledi:
Check gitlab-rails/production_json.log for HTTP requests to the /users/password path with params.value.email consisting of a JSON array with multiple email addresses.Check gitlab-rails/audit_json.log for entries with meta.caller.id of PasswordsController#create and target_details consisting of a JSON array with multiple email addresses.
İkinci kritik sorun ise CVE-2023-5356 olarak tanımlanıyor ve önem derecesi 10 üzerinden 9,6. Bir saldırgan, başka bir kullanıcı gibi eğik çizgi komutlarını yürütmek için Slack/Mattermost entegrasyonlarını kötüye kullanmak amacıyla bu sorundan yararlanabilir.
Mattermost’ta eğik çizgi komutları, harici uygulamaların çalışma alanına entegre edilmesine olanak tanır ve Slack’te, mesaj oluşturucu kutusunda uygulamaları çağırmak için kısayol görevi görür.
GitLab’ın 16.7.2 sürümünde düzelttiği diğer kusurlar şunlardır:
- CVE-2023-4812: GitLab 15.3 ve sonraki sürümlerde, önceden onaylanmış bir birleştirme isteğinde değişiklik yapılarak CODEOWNERS onayının atlanmasına olanak tanıyan yüksek önem dereceli güvenlik açığı.
- CVE-2023-6955: 16.7.2’den önce GitLab’da bulunan Çalışma Alanları için uygun olmayan erişim kontrolü, saldırganların bir grupta başka bir gruptaki bir aracıyla ilişkili bir çalışma alanı oluşturmasına olanak tanıyor.
- CVE-2023-2030: GitLab CE/EE sürüm 12.2 ve sonraki sürümlerini etkileyen, uygunsuz imza doğrulama nedeniyle imzalı taahhütlerin meta verilerinin değiştirilme olasılığını içeren taahhüt imza doğrulama hatası
Talimatlar ve resmi güncelleme kaynakları için GitLab’ın güncelleme sayfasına bakın. Gitlab Runner için bu web sayfasını ziyaret edin.