GitLab, Community Edition (CE) ve Enterprise Edition’daki (EE) birden fazla güvenlik açığını gidermek için kritik güvenlik güncellemelerini kullanıma sunarak Kubernetes kümelerine yetkisiz erişime ve diğer potansiyel istismarlara yol açabilecek sorunları düzeltti.
En son yama sürümleri olan 17.5.2, 17.4.4 ve 17.3.7 artık mevcut ve GitLab, kendi kendini yöneten tüm kullanıcıların derhal yükseltme yapmalarını şiddetle tavsiye ediyor.
GitLab.com platformu zaten güncellenmiş sürümdedir ve GitLab Dedicated müşterileri bu durumdan etkilenmez.
Free Ultimate Continuous Security Monitoring Guide - Download Here (PDF)
Kritik Kubernetes Küme Erişimi Güvenlik Açığı (CVE-2024-9693)
Bu sürümde yamalanan en ciddi sorun, Kubernetes küme aracılarına yetkisiz erişime izin verebilecek yüksek önem derecesine sahip bir güvenlik açığıdır (CVE-2024-9693).
Bu kusur, 16.0’dan 17.3.7, 17.4.4 ve 17.5.2’ye kadar GitLab CE/EE sürümlerini etkilemektedir. CVSS puanı 8,5 olan güvenlik açığı, yetkisiz kullanıcıların belirli yapılandırmalar altında Kubernetes kümelerine erişmesine olanak tanıyabilir.
GitLab güvenlik ekibi bu güvenlik açığını dahili olarak keşfetti ve sorun artık en son yamalarla çözüldü.
Bu riski azaltmak için tüm kendi kendini yöneten GitLab kullanıcılarının en son sürümlere yükseltme yapması önemle tavsiye edilir.
Cihaz OAuth Akışı Güvenlik Açığı (CVE-2024-7404)
Ele alınan bir diğer önemli sorun, Cihaz OAuth akışıyla ilgili, saldırganların kurban olarak tam API erişimi elde etmesine olanak verebilecek orta önemdeki bir güvenlik açığıdır (CVE-2024-7404).
Bu sorun GitLab CE/EE sürümlerini 17.2’den 17.3.7’ye kadar etkilemektedir ve artık en son sürümde giderilmiştir. Güvenlik açığı GitLab’ın hata ödül programı aracılığıyla bildirildi.
FogBugz İçe Aktarma Yoluyla Hizmet Reddi
GitLab CE/EE sürümlerinde 7.14.1’den 17.3.7’ye kadar bir hizmet reddi (DoS) güvenlik açığı keşfedildi.
Bu sorun, kötü amaçlarla hazırlanmış içeriğin FogBugz içe aktarıcısı aracılığıyla içe aktarılmasıyla istismar edilebilir ve bu da hizmetin kesintiye uğramasına neden olabilir. GitLab şu anda bu güvenlik açığı için bir CVE kimliği bekliyor.
Analytics Kontrol Panellerinde depolanan XSS (CVE-2024-8648)
Depolanan siteler arası komut dosyası çalıştırma (XSS) ile ilgili başka bir orta önem dereceli güvenlik açığı (CVE-2024-8648), GitLab CE/EE’nin Analytics kontrol panellerinde bulundu.
Bu kusur, saldırganların özel hazırlanmış bir URL aracılığıyla kötü amaçlı JavaScript kodu eklemesine olanak tanıyabilir. Bu, 16.0’dan 17.5.2’ye kadar olan sürümleri etkilemektedir ve artık düzeltilmiştir.
XSS’ye Yol Açan HTML Enjeksiyonu (CVE-2024-8180)
Güvenlik açığı kod akışında HTML enjeksiyonuna izin veren ve potansiyel olarak siteler arası komut dosyası çalıştırmaya (XSS) yol açan bir sorun da giderildi.
Bu orta önemdeki güvenlik açığı (CVE-2024-8180), GitLab CE/EE sürümlerini 17.3’ten 17.5’e kadar etkilemektedir ve en son güncellemede çözülmüştür.
API aracılığıyla Bilgi İfşası (CVE-2024-10240)
Son olarak, yetkisiz kullanıcıların özel projelerdeki birleştirme istekleri hakkındaki sınırlı bilgilere bir API uç noktası aracılığıyla erişmesine olanak tanıyan orta önemdeki bir güvenlik açığı (CVE-2024-10240) yamandı. Bu güvenlik açığı GitLab ekibinin bir üyesi tarafından dahili olarak keşfedildi.
GitLab, kendi kendine yönetilen kurulumlara sahip tüm kullanıcıları derhal en son yama sürümlerine yükseltmeye çağırıyor.
Bu güncellemeler, potansiyel yetkisiz erişime ve diğer güvenlik risklerine karşı koruma sağlayan kritik güvenlik düzeltmeleri içerir.
Analyze Unlimited Phishing & Malware with ANY.RUN For Free - 14 Days Free Trial.