GitLab, Community Edition (CE) ve Enterprise Edition (EE) platformları için güncellenmiş sürümlerin yayınlandığını duyurdu. Bu güncellemeler, saldırganların yetkilendirme mekanizmalarını atlamasına ve korunan değişkenlere erişmesine olanak tanıyan kritik güvenlik açıklarını giderir.
16.9.2, 16.8.4 ve 16.7.7 sürümlerinden oluşan güncellemeler, bütünlük açısından yüksek risk oluşturan iki büyük güvenlik açığının (CVE-2024-0199 ve CVE-2024-1299) keşfedilmesine yanıt olarak geldi ve GitLab platformu aracılığıyla yönetilen verilerin gizliliği.
GitLab, bu güvenlik açıklarıyla ilişkili riskleri azaltmak için tüm kullanıcılara kurulumlarını bu en son sürümlere yükseltmelerini şiddetle tavsiye etti.
Şirket, GitLab.com'u halihazırda yamalı sürüme güncelleyerek çevrimiçi platform kullanıcılarının bu güvenlik açıklarından korunmasını sağladı.
Güvenlik Açıklarını Anlamak
Bunlardan en kritik olanı olan CVE-2024-0199'un, 11.3'ten yamalı sürümlerden hemen önceki sürümlere kadar geniş bir GitLab sürümünü etkileyen bir yetkilendirme atlama güvenlik açığı olduğu belirlendi.
Kötü amaçlı yazılım analizi hızlı ve basit olabilir. Size şu yolu göstermemize izin verin:
- Kötü amaçlı yazılımlarla güvenli bir şekilde etkileşime geçin
- Linux'ta ve tüm Windows işletim sistemi sürümlerinde sanal makine kurulumu
- Bir takımda çalışın
- Maksimum veriyle ayrıntılı raporlar alın
Tüm bu özellikleri şimdi sandbox'a tamamen ücretsiz erişimle test etmek istiyorsanız: ..
ANY.RUN'da kötü amaçlı yazılımları ücretsiz analiz edin
Bu kusur, saldırganların, CODEOWNERS kısıtlamalarını atlamak için eski bir özellik dalında kullanılabilecek bir veri yükü oluşturmasına ve korunan değişkenlere yetkisiz erişime olanak sağlamasına olanak tanıdı.
Yüksek önem derecesi ile sınıflandırılan (CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A: N, 7.7) bu güvenlik açığı derhal giderildi En son GitLab sürümlerinde ele alınmıştır.
CVE-2024-1299: Ayrıcalık Artışı Endişesi
İkinci güvenlik açığı olan CVE-2024-1299, güvenlik güncellemelerinden önce 16.8 ve 16.9 sürümlerini etkileyen bir ayrıcalık yükseltme sorununu içeriyordu.
Bu kusur, Manage_group_access_tokens özel rolüne sahip kullanıcıların, grup erişim belirteçlerini sanki sahip izinleri varmış gibi döndürmesine ve görüntülemesine olanak tanıdı ve orta düzeyde bir risk oluşturdu (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/ S:U/C:H/I:H/A: N, 6.5).
Proaktif Güvenlik Önlemleri
GitLab'ın güvenliğe olan bağlılığı, güvenlik açıklarını belirleme ve düzeltmeye yönelik proaktif yaklaşımında açıkça görülmektedir.
Şirket, kritik güvenlik açıklarına yönelik anlık sürümlere ek olarak planlı bir aylık güvenlik sürümü yayınlayarak olası güvenlik sorunlarının derhal ele alınmasını sağlar.
Güvenli GitLab kurulumlarının sürdürülmesi hakkında daha fazla bilgi için kullanıcıların GitLab'ın güvenlik SSS sayfasını ve blog gönderilerini ziyaret etmeleri önerilir.
Bu güvenlik açıklarının keşfi GitLab'ın HackerOne hata ödül programı sayesinde mümkün oldu. Sırasıyla CVE-2024-0199 ve CVE-2024-1299'u bildirdikleri için ali_shehab ve ashish_r_padelkar'a özel teşekkür ederiz.
Güvenlik yamalarına ek olarak, en son GitLab sürümleri Kubectl ve Mattermost güncellemelerinin yanı sıra platformun kararlılığını ve performansını artırmak için çeşitli güvenlikle ilgili olmayan yamaları da içeriyor.
GitLab'ın bu güvenlik açıklarına hızlı tepki vermesi, siber güvenlik alanında sürekli dikkatli olmanın ve hızlı eyleme geçmenin öneminin altını çiziyor.
GitLab kullanıcılarının, verilerini korumak ve geliştirme iş akışlarının bütünlüğünü korumak için kurulumlarını mümkün olan en kısa sürede en son sürümlere yükseltmeleri önerilir.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, ortalığı kasıp kavurabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.