GitLab, Yetkisiz Boru Hattı İş Yürütmesine İzin Veren Kritik Açığı Düzeltiyor


12 Eylül 2024Ravie LakshmananDevSecOps / Güvenlik Açığı

GitLab

GitLab, Çarşamba günü, bir saldırganın keyfi bir kullanıcı olarak işlem hattı işlerini çalıştırmasına izin veren kritik bir kusur da dahil olmak üzere 17 güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.

CVE-2024-6678 olarak izlenen sorun, maksimum 10.0 üzerinden 9.9 CVSS puanına sahip

Şirketten yapılan açıklamada, “GitLab CE/EE’de 8.14’ten başlayarak 17.1.7’ye, 17.2’den başlayarak 17.2.5’e ve 17.3’ten başlayarak 17.3.2’ye kadar tüm sürümleri etkileyen bir sorun keşfedildi. Bu sorun, bir saldırganın belirli koşullar altında keyfi bir kullanıcı olarak bir veri hattını tetiklemesine olanak tanıyor” denildi.

Bu güvenlik açığı, üç yüksek önem derecesine sahip, 11 orta önem derecesine sahip ve iki düşük önem derecesine sahip hatayla birlikte GitLab Community Edition (CE) ve Enterprise Edition (EE) için 17.3.2, 17.2.5, 17.1.7 sürümlerinde giderildi.

Siber Güvenlik

CVE-2024-6678’in, GitLab’ın geçtiğimiz yıl içinde düzelttiği dördüncü kusur olduğunu belirtmekte fayda var; CVE-2023-5009 (CVSS puanı: 9,6), CVE-2024-5655 (CVSS puanı: 9,6) ve CVE-2024-6385 (CVSS puanı: 9,6).

Kusurların aktif olarak kullanıldığına dair bir kanıt bulunmamakla birlikte, kullanıcıların olası tehditlere karşı önlem almak için yamaları mümkün olan en kısa sürede uygulamaları önerilir.

ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Mayıs ayının başlarında kritik bir GitLab güvenlik açığının (CVE-2023-7028, CVSS puanı: 10.0) vahşi doğada aktif olarak istismar edildiğini açıkladı.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin Twitter ve daha özel içeriklerimizi okumak için LinkedIn’i ziyaret edin.





Source link