GitLab, hem Topluluk hem de Kurumsal Sürümler için 16.11.1, 16.10.4 ve 16.9.6 güvenlik yamalarını yayımladı ve güvenlik açıklarını gidermek için bu sürümlere yükseltme yapılması şiddetle tavsiye edilir.
Planlı yama sürümleri ayda iki kez yayınlanırken, yüksek önemdeki güvenlik açıkları için geçici kritik yamalar yayınlanır. Güvenlik açıklarının ayrıntıları, ilgili yamanın yayınlanmasından 30 gün sonra kamuya açıklanacaktır.
Açıklanan güvenlik açıkları kurulumu etkiliyorsa hemen yükseltin. Bu, muaf olarak belirli bir tür belirtilmediği sürece tüm dağıtım türleri (çok amaçlı veri yolu, kaynak kodu, dümen şeması vb.) için geçerlidir.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide
Derhal ilgilenilmesi gereken çeşitli güvenlik açıkları tespit edildi. Belirli koşullar altında bir saldırgan, OAuth kimlik doğrulaması (Yüksek) için Bitbucket kullanırken potansiyel olarak bir GitLab hesabını ele geçirebilir.
.webp)
İki güvenlik açığı (Yüksek), GitLab’ı hizmet reddi saldırılarına (DoS) maruz bırakır ve kısıtlı dosyalara yetkisiz erişime izin verir: yol geçişi ve FileFinder’da joker karakter filtreleri tarafından tetiklenen Normal İfade Hizmet Reddi (ReDoS).
GraphQL abonelikleri, kişisel erişim belirteci sınırlamalarını (Medium) göz ardı edebilir ve kötü niyetli aktörler, özel hazırlanmış bir e-posta adresi (Medium) kullanarak alan adı tabanlı kısıtlamaları atlayabilir.
16.9.6, 16.10.4 ve 16.11.1’den önceki GitLab sürümleri, Bitbucket’i OAuth sağlayıcısı olarak kullanırken hesap ele geçirme saldırılarına karşı savunmasızdır ve Bitbucket hesabına sahip bir saldırgan, belirli koşullar altında potansiyel olarak bağlı bir GitLab hesabının kontrolünü ele geçirebilir.
Kritik sorun (CVE-2024-4024) en son GitLab sürümlerinde yamalanmıştır ve GitLab güvenlik ekibi tarafından dahili olarak tanımlanmıştır.
Bitbucket kimlik doğrulamasını güncelliyor. 16 Mayıs 2024’ten önce hesapları yeniden bağlamak için Bitbucket kimlik bilgileriyle GitLab’da oturum açın. Aksi takdirde manuel olarak yeniden bağlantı yapılması gerekecektir.
Değişiklik, GitLab ve Bitbucket arasında e-posta adresleri eşleşmeyen kullanıcıları etkileyebilir. Bu gibi durumlarda, oturum açmak ve Bitbucket’i yeniden bağlamak için GitLab kullanıcı adını ve şifresini kullanın.
16.9.6, 16.10.4 ve 16.11.1’den önceki sürümler iki yüksek önem dereceli saldırıya karşı savunmasızdır ve bir yol geçiş kusuru (CVE-2024-2434, CVSS: 8.5), kimliği doğrulanmamış saldırganların potansiyel olarak kısıtlanmış dosyaları okumasına ve çökmesine olanak tanır uygulama (DoS).
Proje dosyası aramasında, özel hazırlanmış bir joker karakter filtresinin hizmet reddi saldırısını tetikleyebildiği ayrı bir güvenlik açığı (CVE-2024-2829, CVSS: 7.5) bulunmaktadır. Bu sorunları çözmek için en son GitLab sürümüne yükseltme yapmak çok önemlidir.
16.9.6’dan önceki sürümler ve sonraki bazı sürümler iki güvenlik açığı içerir. Bunlardan ilki (CVE-2024-4006), GraphQL aboneliklerinin Kişisel Erişim Simgesi kapsamlarını gerektiği gibi uygulamaması ve potansiyel olarak kullanıcıların yetkisiz verilere erişmesine izin vermesidir.
İkincisinde (CVE-2024-1347), özel hazırlanmış bir e-posta adresi, en son GitLab sürümlerinde yamalanmış olan gruplar veya örnekler üzerindeki etki alanı tabanlı kısıtlamaları atlayabilir.
Combat Email Threats with Easy-to-Launch Phishing Simulations: Email Security Awareness Training -> Try Free Demo