GitLab, yazılım geliştirme platformundaki güvenlik açıklarını kapatmak için bir dizi güncelleme daha yayınladı. Bunlar arasında, bir saldırganın herhangi bir kullanıcı olarak işlem hattı işlerini çalıştırmasına olanak tanıyan kritik bir hata da yer alıyor.
CVE-2024-6385 olarak takip edilen güvenlik açığının CVSS puanı ise 10.0 üzerinden 9.6 olarak belirlendi.
Şirket Çarşamba günü yayınladığı duyuruda, “GitLab CE/EE’de 16.11.6’dan önceki 15.8, 17.0.4’ten önceki 17.0 ve 17.1.2’den önceki 17.1 sürümlerini etkileyen bir sorun keşfedildi. Bu sorun, bir saldırganın belirli koşullar altında başka bir kullanıcı olarak bir veri hattını tetiklemesine olanak tanıyor” dedi.
Şirketin geçen ayın sonlarında benzer bir hatayı (CVE-2024-5655, CVSS puanı: 9.6) düzelttiğini ve bunun da diğer kullanıcılar gibi veri hatlarını çalıştırmak için silah olarak kullanılabileceğini belirtmekte fayda var.
GitLab ayrıca, admin_compliance_framework izinlerine sahip bir Geliştirici kullanıcısının bir grup ad alanı için URL’yi değiştirmesine izin veren orta düzeyde bir sorun (CVE-2024-5257, CVSS puanı: 4,9) da ele aldı.
GitLab Community Edition (CE) ve Enterprise Edition (EE) 17.1.2, 17.0.4 ve 16.11.6 sürümlerinde tüm güvenlik eksiklikleri giderildi.
Açıklama, Citrix’in NetScaler Konsolu’nu (eski adıyla NetScaler ADM), NetScaler SDX’i ve NetScaler Aracısı’nı etkileyen kritik, uygunsuz bir kimlik doğrulama açığına yönelik güncellemeleri yayınlamasının ardından geldi (CVE-2024-6235, CVSS puanı: 9,4) ve bu durum bilgi ifşasına yol açabilir.
Broadcom ayrıca, VMware Cloud Director’daki (CVE-2024-22277, CVSS puanı: 6,4) ve VMware Aria Automation’daki (CVE-2024-22280, CVSS puanı: 8,5) iki orta şiddetteki enjeksiyon güvenlik açığı için de yamalar yayınladı. Bu açıklar, sırasıyla özel olarak hazırlanmış HTML etiketleri ve SQL sorguları kullanılarak kötü amaçlı kod yürütmek için kötüye kullanılabiliyordu.
CISA, Yazılım Kusurlarını Ele Almak İçin Bültenler Yayımladı
Gelişmeler ayrıca, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI) tarafından yayınlanan ve teknoloji üreticilerini, tehdit aktörlerinin ağ kenarı aygıtlarında uzaktan kod yürütmesine olanak tanıyan yazılımlardaki işletim sistemi (OS) komut enjeksiyon kusurlarını ayıklamaya çağıran yeni bir bültenin ardından geldi.
Bu tür kusurlar, temel işletim sisteminde yürütülecek komutlar oluşturulurken kullanıcı girdisinin yeterince temizlenmemesi ve doğrulanmaması durumunda ortaya çıkar ve bu da saldırganın kötü amaçlı yazılım dağıtımına veya bilgi hırsızlığına yol açabilecek keyfi komutları gizlice sokmasına olanak tanır.
“İşletim sistemi komut enjeksiyonu güvenlik açıkları, kullanıcı girdisini bir komutun içeriğinden açıkça ayırarak uzun zamandır önlenebilir,” dedi kurumlar. “Bu bulguya rağmen, çoğu CWE-78’den kaynaklanan işletim sistemi komut enjeksiyonu güvenlik açıkları hala yaygın bir güvenlik açığı sınıfıdır.”
Uyarı, CISA ve FBI tarafından yıl başından bu yana verilen üçüncü uyarıdır. Kurumlar daha önce Mart ve Mayıs 2024’te SQL enjeksiyonu (SQLi) ve yol geçişi güvenlik açıklarını ortadan kaldırma ihtiyacı hakkında iki uyarı daha göndermişti.
Geçtiğimiz ay CISA, Kanada ve Yeni Zelanda’daki siber güvenlik kuruluşlarıyla birlikte, işletmelere ağ etkinliğinin daha iyi görünürlüğünü sağlayan Sıfır Güven, Güvenli Hizmet Kenarı (SSE) ve Güvenli Erişim Hizmet Kenarı (SASE) gibi daha sağlam güvenlik çözümlerini benimsemelerini öneren bir rehber yayınladı.
Yazar kuruluşlar, “Bu çözümler, politika karar motorları aracılığıyla kararları sunmak için risk tabanlı erişim kontrol politikalarını kullanarak, güvenliği ve erişim kontrolünü entegre ediyor ve uyarlanabilir politikalar aracılığıyla bir kuruluşun kullanılabilirliğini ve güvenliğini güçlendiriyor” dedi.