GitLab, CVE-2023-2825 olarak izlenen bir maksimum önem derecesine (CVSS v3.1 puanı: 10.0) yol geçişi kusurunu gidermek için bir acil durum güvenlik güncellemesi sürüm 16.0.1 yayınladı.
GitLab, kodlarını uzaktan yönetmesi gereken ve yaklaşık 30 milyon kayıtlı kullanıcısı ve bir milyon ödeme yapan müşterisi olan geliştirici ekipleri için web tabanlı bir Git deposudur.
En son güncellemede ele alınan güvenlik açığı, sorunu projenin HackOne bug bounty programında bildiren ‘pwnie’ adlı bir güvenlik araştırmacısı tarafından keşfedildi.
GitLab Community Edition (CE) ve Enterprise Edition (EE) sürüm 16.0.0’ı etkiler, ancak bundan daha eski tüm sürümler etkilenmez.
Kusur, kimliği doğrulanmamış bir saldırganın, en az beş grup içinde yuvalanmış bir genel projede bir ek bulunduğunda sunucudaki rasgele dosyaları okumasına izin veren bir yol geçiş sorunundan kaynaklanır.
CVE-2023-2825’in kötüye kullanılması, tescilli yazılım kodu, kullanıcı kimlik bilgileri, belirteçler, dosyalar ve diğer özel bilgiler dahil olmak üzere hassas verileri açığa çıkarabilir.
Bu önkoşul, sorunun GitLab’ın çeşitli grup hiyerarşisi düzeyleri içinde iç içe geçmiş ekli dosyalar için yolları nasıl yönettiği veya çözdüğü ile ilgili olduğunu gösterir. Ancak, sorunun kritikliği ve keşfedilmesinin tazeliği nedeniyle, bu sefer satıcı tarafından pek fazla ayrıntı açıklanmadı.
Bunun yerine GitLab, en son güvenlik güncellemesini gecikmeden uygulamanın önemini vurguladı.
GitLab’ın güvenlik bülteninde “Aşağıda açıklanan sorunlardan etkilenen bir sürümü çalıştıran tüm kurulumların mümkün olan en kısa sürede en son sürüme yükseltilmesini önemle tavsiye ediyoruz.”
“Bir ürünün belirli bir dağıtım türünden (çok amaçlı araç, kaynak kodu, dümen şeması vb.) söz edilmediğinde, bu tüm türlerin etkilendiği anlamına gelir.”
Hafifletici bir faktör, güvenlik açığının yalnızca belirli koşullar altında, yani tüm GitHub projelerinde izlenen yapı olmayan en az beş grup içinde yuvalanmış bir genel projede bir ek olduğunda tetiklenebilmesidir.
Yine de, riski azaltmak için tüm GitLab 16.0.0 kullanıcılarının mümkün olan en kısa sürede 16.0.1 sürümüne güncelleme yapmaları önerilir. Ne yazık ki, şu anda herhangi bir geçici çözüm mevcut değildir.
GitLab kurulumunuzu güncellemek için projenin güncelleme sayfasındaki talimatları izleyin. GitLab Runner güncellemeleri için bu kılavuza göz atın.