GitLab, Community Edition (CE) ve Enterprise Edition (EE) için 17.4.2, 17.3.5 ve 17.2.9 sürümleriyle kritik yamaların yayınlandığını duyurdu. Bu GitLab kritik yamaları, kullanıcı verilerinin bütünlüğünü ve sistem güvenliğini tehlikeye atabilecek bir dizi güvenlik açığını ve hatayı hedeflediklerinden, tüm kendi kendini yöneten GitLab kurulumları için gereklidir.
GitLab.com halihazırda yamalı sürümler üzerinde çalışıyor; GitLab Dedicated müşterilerine ise kendi açılarından acil bir işlem yapılmasına gerek olmadığı bildiriliyor.
En Son GitLab Kritik Yamaları
GitLab kritik yamaları, GitLab’daki güvenlik açıklarına yönelik önemli düzeltmeler içeriyor ve şirket, tüm kullanıcıların kurulumlarını gecikmeden yükseltmelerini şiddetle tavsiye ediyor. En son sürümün bakımı yalnızca kullanıcı verilerini korumakla kalmaz, aynı zamanda GitLab’ın güvenlik taahhüdüne uygunluğu da sağlar. Kendi kendine yönetilen bulut sunucularına güvenenler için yükseltmeler yalnızca tavsiye edilmez; operasyonel bütünlük açısından kritik öneme sahiptirler.
GitLab, hem planlı hem de anlık kritik yamaları içeren yapılandırılmış bir yayın programını takip eder. Planlanan sürümler ayda iki kez, özellikle de ikinci ve dördüncü Çarşamba günleri gerçekleşirken, kritik yamalar ortaya çıktıkça yüksek önemdeki güvenlik açıklarını giderir. Sürüm programları hakkında ek bilgi için kullanıcılar GitLab’ın sürüm el kitabına ve güvenlik SSS’sine başvurabilirler.
GitLab’ın şeffaf yaklaşımının bir parçası olarak, her bir güvenlik açığına ilişkin ayrıntılar, yamanın yayınlanmasından 30 gün sonra sorun izleyicide kamuya açık hale getirilir. Bu, kullanıcıların potansiyel tehditler ve bunları azaltmak için alınan önlemler hakkında bilgi sahibi olmalarına olanak tanır.
Ele Alınan Temel Güvenlik Açıkları
En son GitLab kritik yamaları, GitLab’daki güvenlik açıklarına yönelik önem derecesine göre kategorize edilmiş birden fazla düzeltme içerir. İşte yamalanan bazı önemli sorunlar:
- Kritik Güvenlik Açığı: Ardışık Hatların Keyfi Dallarda Çalıştırılması (CVE-2024-9164)
Bu kritik güvenlik açığı, saldırganların 12.5’ten yamalardan önceki en son sürüme kadar olan sürümler boyunca rastgele dallarda işlem hatları çalıştırmasına olanak tanıdı. Bu sorunun ciddiyet derecesi CVSS 9.6 olup, önemli bir tehdit düzeyine işaret etmektedir.
- Yüksek Önem Derecesi: Rastgele Kullanıcıların Taklidi (CVE-2024-8970)
Bir diğer önemli güvenlik açığı, bir saldırganın belirli koşullar altında başka bir kullanıcı olarak bir işlem hattını tetiklemesine olanak tanıdı. Bu sorun, 11.6’dan 17.4.2’ye kadar olan sürümleri etkiledi ve ayrıca CVSS puanı 8,2 ile yüksek olarak derecelendirildi.
- Yüksek Önem Düzeyi: Analytics Kontrol Panelindeki SSRF (CVE-2024-8977)
Ürün Analizi Kontrol Panelinin etkin olduğu örneklerin Sunucu Tarafı İstek Sahteciliği (SSRF) saldırılarına karşı savunmasız olduğu belirlendi. 15.10’dan itibaren sürümleri etkileyen bu sorun, 8,2 CVSS puanıyla yüksek puan aldı. Yine topluluğun dikkati sayesinde bu güvenlik açığı yamalı hale getirildi.
- Yüksek Önem Düzeyi: Çakışmalı Birleştirme İsteklerinin Yavaş Farkları (CVE-2024-9631)
Çakışma içeren birleştirme isteklerinin (MR) farklarının görüntülenmesi, işlemedeki verimsizlikler nedeniyle oldukça yavaştı. Bu sorun 13.6’dan itibaren sürümleri etkilemiştir ve kendi başına güvenlikten ödün vermese de üretkenliği engelleyebilir. Bu güvenlik açığı ayrıca 7,5 gibi yüksek bir önem derecesi aldı.
- Yüksek Önem Düzeyi: OAuth Sayfasına HTML Ekleme (CVE-2024-6530)
Yeni uygulamaları yetkilendirirken yetkisiz HTML oluşturmaya izin veren bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı belirlendi. Bu güvenlik açığı, en son sürümlerden önceki tüm sürümlere yamanmıştır ve önem derecesi 7,3’tür.
- Orta Önem Derecesi: Değişiklikleri Arşivlenmiş Depolara Aktaran Anahtarları Dağıtın (CVE-2024-9623)
Dağıtım anahtarlarının değişiklikleri arşivlenmiş depolara aktarabildiği orta önem dereceli bir sorun keşfedildi. Bu güvenlik açığı 8.16’dan itibaren sürümleri etkiliyor ve giderilmediği takdirde risk oluşturuyor.
- Düşük Önem Derecesi: GitLab Örnek Sürümü Açıklaması (CVE-2024-9596)
Düşük önem derecesine sahip bir sorun, kimliği doğrulanmamış saldırganların GitLab örneğinin sürüm numarasını keşfetmesine olanak tanıdı ve bu da hedefli saldırılara yol açabilir. Bu güvenlik açığı, sistem yapılandırmalarındaki görünüşte küçük ayrıntıların bile korunmasının önemini vurgulamaktadır.
Kullanıcılar için Önerilen Eylemler
Bu GitLab güvenlik açıklarının kritik niteliği göz önüne alındığında kuruluş, etkilenen sürümleri çalıştıran tüm kullanıcılara mümkün olan en kısa sürede en son yama sürümlerine yükseltme yapmalarını şiddetle tavsiye ediyor. Hem kendi kendini yöneten hem de bulut kullanıcılarını içeren GitLab topluluğu bu güncellemelerden önemli ölçüde faydalanabilir.
GitLab kurulumlarını güncellemek isteyen kullanıcılar için GitLab Güncelleme sayfasında rehberlik mevcuttur. Ek olarak GitLab Runner’ı güncelleme talimatları, koşucunun güncellemelerine ayrılmış ayrı bir sayfada bulunabilir.