DevOps platformu GitLab bu hafta, yazılımında etkilenen sistemlerde rastgele kod yürütülmesine yol açabilecek kritik bir güvenlik açığını gidermek için yamalar yayınladı.
CVE-2022-2884 olarak izlenen sorun, CVSS güvenlik açığı puanlama sisteminde 9.9 olarak derecelendirilmiştir ve 11.3.4’ten 15.1.5’e, 15.2’den 15.2’ye kadar GitLab Community Edition (CE) ve Enterprise Edition’ın (EE) tüm sürümlerini etkiler. 3 ve 15.3, 15.3.1’den önce.
Özünde, güvenlik zayıflığı, GitHub içe aktarma API’si aracılığıyla tetiklenebilen kimliği doğrulanmış bir uzaktan kod yürütme durumudur. GitLab, kusuru keşfetme ve bildirme konusunda yvvdwf’ye güvendi.
15.3.1, 15.2.3, 15.1.5 sürümlerinde sorun çözülmüş olsa da, kullanıcılar GitHub içe aktarma seçeneğini geçici olarak devre dışı bırakarak kusura karşı koruma seçeneğine de sahiptir –
- “Menü” -> “Yönetici” ye tıklayın
- “Ayarlar” -> “Genel” e tıklayın
- “Görünürlük ve erişim denetimleri” sekmesini genişletin
- “Kaynakları içe aktar” altında “GitHub” seçeneğini devre dışı bırakın
- “Değişiklikleri kaydet”e tıklayın
Sorunun vahşi saldırılarda istismar edildiğine dair bir kanıt yok. Bununla birlikte, etkilenen bir yükleme çalıştıran kullanıcıların mümkün olan en kısa sürede en son sürüme güncelleme yapmaları önerilir.