GitLab, hem Community Edition (CE) hem de Enterprise Edition (EE) için 17.5.1, 17.4.3 ve 17.3.6 yeni yama sürümlerini yayınladı.
Bu güncellemeler, diğer güvenlik ve hata düzeltmelerinin yanı sıra, siteler arası komut dosyası çalıştırma (XSS) saldırılarına yol açabilecek kritik bir HTML enjeksiyon güvenlik açığını da giderir.
Bu yamanın ana odağı GitLab’ın Küresel Arama özelliğinde tanımlanan yüksek önemdeki bir HTML enjeksiyon hatasıdır.
Güvenlik Açıkları Düzeltildi
15.10’dan başlayarak yeni yayımlanan yamalar hariç tüm sürümleri etkileyen bu güvenlik açığı, saldırganların diff görünümündeki arama alanına kötü amaçlı HTML yerleştirmesine olanak tanıyor.
Bu, kötü amaçlı komut dosyalarının kullanıcıların tarayıcılarında çalıştırıldığı, hassas verilerin ve kullanıcı hesaplarının tehlikeye atıldığı XSS saldırılarına olanak tanıyabilir.
Güvenlik açığına CVE-2024-8312 atanmıştır ve 8,7 CVSS puanına sahiptir, bu da yüksek etkisinin ve kullanım kolaylığının göstergesidir.
Free Webinar on Protecting Websites & APIs From Cyber Attacks -> Join Here
GitLab, güvenlik araştırmacısı Joaxcar’ın HackerOne hata ödül programı aracılığıyla bu kusuru tespit etme konusundaki katkısını kabul etti.
GitLab, etkilenen sürümleri çalıştıran tüm kullanıcılara potansiyel riskleri azaltmak için derhal yükseltme yapmalarını şiddetle tavsiye eder. Yamalı sürümler GitLab.com’da zaten konuşlandırılmış olup, barındırılan hizmetin kullanıcılarının korunmasını sağlar.
Ancak, kendi kendine yönetilen kurulumların kötüye kullanımı önlemek için manuel olarak güncelleştirilmesi gerekir. Sürüm, HTML enjeksiyon yamasının yanı sıra, XML manifest dosyasının içe aktarımıyla ilgili orta önemde Hizmet Reddi (DoS) güvenlik açığını da gideriyor.
Bu kusur, saldırganların kötü amaçla hazırlanmış XML dosyalarını içe aktararak hizmetleri kesintiye uğratmasına olanak tanıyabilir. Bu soruna CVE-2024-6826 atandı ve artık en son güncellemelerle çözümlendi.
GitLab’ın yayın stratejisi, hem planlanmış iki ayda bir güncellemeler hem de kritik güvenlik açıkları için geçici yamalar içeriyor; bu da onların tüm platformlarda yüksek güvenlik standartlarını sürdürme konusundaki kararlılığını yansıtıyor.
Her güvenlik açığıyla ilgili ayrıntılı bilgi, yayınlandıktan 30 gün sonra GitLab’ın sorun izleyicisinde kamuya açıklanacak.
Bu, kullanıcıların her bir düzeltmenin kapsamını ve etkisini anlamalarına olanak tanıyacak ve zamanında güncellemeler yoluyla anında koruma sağlayacaktır.
GitLab, tüm kullanıcıların kurulumlarını düzenli olarak desteklenen en son sürümlere güncellemelerini önerir. Ayrıca potansiyel tehditlere karşı daha fazla koruma sağlamak için güvenlik belgelerinde belirtilen en iyi uygulamaların izlenmesini de teşvik ederler.
Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here