GitLab, saldırganların planlanmış güvenlik taraması ilkeleri aracılığıyla diğer kullanıcılar gibi işlem hatlarını çalıştırmasına olanak tanıyan kritik öneme sahip bir güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.
GitLab, ücretsiz ve ticari bir sürüm sunan popüler bir web tabanlı açık kaynaklı yazılım proje yönetimi ve iş takip platformudur.
Kusura CVE-2023-4998 (CVSS v3.1 puanı: 9.6) atandı ve GitLab Community Edition (CE) ve Enterprise Edition (EE) 13.12 ila 16.2.7 sürümlerini ve 16.3 ila 16.3.4 sürümlerini etkiliyor.
Sorun, GitLab’ın CVE-2023-3932 olarak takip edilen ve ağustos ayında düzeltilen orta önemdeki bir sorunun atlanması olduğunu söylediği güvenlik araştırmacısı ve hata avcısı Johan Carlsson tarafından keşfedildi.
Araştırmacı, uygulanan korumaların üstesinden gelmenin bir yolunu keşfetti ve kusurun önem derecesini kritik önem derecesine yükselten ek bir etki gösterdi.
İşlem hattı görevlerini (bir dizi otomatik görev) yürütmek için bilgileri veya izinleri olmadan kullanıcıların kimliğine bürünmek, saldırganların hassas bilgilere erişmesine veya kimliğine bürünülen kullanıcının kod çalıştırma, verileri değiştirme veya GitLab sistemi içinde belirli olayları tetikleme izinlerini kötüye kullanmasına neden olabilir.
GitLab’ın kodu yönetmek için kullanıldığı göz önüne alındığında, bu tür bir uzlaşma, fikri mülkiyet kaybına, zarar verici veri sızıntılarına, tedarik zinciri saldırılarına ve diğer yüksek riskli senaryolara neden olabilir.
GitLab’ın bülteni, güvenlik açığının ciddiyetinin altını çizerek kullanıcıları mevcut güvenlik güncellemelerini hemen uygulamaya teşvik ediyor.
CVE-2023-4998’i çözen sürümler GitLab Community Edition ve Enterprise Edition 16.3.4 ve 16.2.7’dir.
Güvenlik sorununa yönelik düzeltmeler almamış olan 16.2’den önceki sürümlerin kullanıcıları için önerilen hafifletme yöntemi, hem “Doğrudan aktarımlar”ın hem de “Güvenlik politikalarının” etkinleştirilmesini önlemektir.
Bülten, her iki özelliğin de etkin olması durumunda örneğin savunmasız olduğu konusunda uyarıyor; bu nedenle kullanıcılara bunları birer birer açmaları tavsiye ediliyor.
Kullanıcılar GitLab’ı buradan güncelleyebilir veya GitLab Runner paketlerini bu resmi web sayfasından edinebilirler.