GitLab, Community Edition (CE) ve Enterprise Edition (EE) için kritik güvenlik güncellemelerinin yayınlandığını duyurdu.
Güncellemeler, siteler arası komut dosyası çalıştırma (XSS) saldırılarına yol açabilecek yüksek önem derecesine sahip bir HTML enjeksiyon güvenlik açığını giderir. Yamalı sürümler olan 17.5.1, 17.4.3 ve 17.3.6 artık anında yükseltmeye hazır.
CVE-2024-8312 güvenlik açığı, 15.10’dan bu yamalardan önceki en son sürümlere kadar tüm GitLab CE/EE sürümlerini etkiliyor.
Bir saldırganın, farklı bir görünümde Genel Arama alanına HTML enjekte edebileceği ve bu kusurdan XSS saldırıları için potansiyel olarak yararlanabileceği keşfedildi.
Ulusal Siber Güvenlik Farkındalığı Ayı Siber Zorluklar – Becerilerinizi Şimdi Test Edin
CVSS puanı 8,7 olan bu sorun, gizlilik ve bütünlük üzerindeki potansiyel etkisi nedeniyle yüksek önem derecesine sahip olarak değerlendiriliyor.
GitLab, kendi kendini yöneten kurulumların gecikmeden bu yamalı sürümlere yükseltilmesinin önemini vurguladı.
GitLab.com kullanıcıları güncellenmiş sürümle zaten korunurken GitLab Dedicated müşterilerinin herhangi bir işlem yapmasına gerek yoktur.
Güncellemeler, XSS güvenlik açığına ek olarak, CVE-2024-6826 olarak tanımlanan, XML bildirim dosyasını içe aktarma yoluyla orta önemde hizmet reddi (DoS) güvenlik açığını da gideriyor.
Bu sorun 11.2’den sonraki sürümleri etkiledi ve saldırganların kötü amaçlarla hazırlanmış bir XML dosyasını içe aktararak hizmetleri kesintiye uğratmasına olanak tanıyabildi.
Boxcar ve a92847865 araştırmacıları sırasıyla GitLab’ın HackerOne hata ödül programı aracılığıyla her iki güvenlik açığını da sorumlu bir şekilde bildirdi.
GitLab, yüksek önemdeki güvenlik açıkları için hem planlanmış hem de geçici kritik yamalar yayınlayarak güvenlik konusundaki kararlılığını sürdürüyor. Planlanan sürümler ayda iki kez ikinci ve dördüncü Çarşamba günleri gerçekleşir.
Güvenli kurulumların sürdürülmesi hakkında daha fazla bilgi için kullanıcıların GitLab’ın sürüm blogunu ve güvenlik SSS sayfasını ziyaret etmeleri önerilir.
Şirket ayrıca GitLab örneklerinin güvenliğine ilişkin blog yazılarında özetlenen en iyi uygulamaların takip edilmesini de tavsiye ediyor.
GitLab’ın dümen grafiklerini, geliştirme kitini ve analiz yığınını kullananlar için, Ingress NGINX Controller görüntü sürümü 1.11.2 güncellemesinin yanı sıra dinamik huniler desteğini kaldıracak güncellemeler yapıldı.
Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here