GitLab Inc., kullanıcı etkileşimi olmadan hesap devralmaya izin veren bir güvenlik açığını kapattıktan iki haftadan kısa bir süre sonra GitLab CE/EE’deki kritik bir güvenlik açığını (CVE-2024-0402) yeniden yamaladı ve kullanıcıları kurulumlarını derhal güncellemeye çağırıyor.
GitLab Inc., GitLab.com’u (web tabanlı bir Git deposu) işletmektedir ve yerleşik sürüm kontrolü, sorun izleme, kod inceleme vb. özelliklere sahip yaygın olarak kullanılan bir yazılım geliştirme platformu olan GitLab Community Edition (CE) ve Enterprise Edition’ı (EE) geliştirmektedir. .
Kendi kendini yöneten bir platform olan GitLab, şirket içi sunuculara, Kubernetes’e veya bir bulut sağlayıcıya dağıtılabilir.
CVE-2024-0402 Hakkında
CVE-2024-0402, kimliği doğrulanmış bir kullanıcının çalışma alanı oluştururken GitLab sunucusundaki rastgele konumlara dosya yazmasına izin verebilecek bir güvenlik açığıdır. Muhtemelen bu güvenlik açığından kötü amaçlı yazılım dağıtmak için de yararlanılabilir.
Keşfetti GitLab ekibinin bir üyesi tarafından, CVE-2024-0402, GitLab CE/EE 16.5.8, 16.6.6, 16.7.4 ve 16.8.1 sürümlerinde düzeltildi. (GitLab v16.8 bu ayın başında yayınlandı.)
Bu sürümlerde düzeltilen diğer güvenlik hataları
Şirket aynı zamanda saldırganların şunları yapmasına olanak tanıyabilecek dört adet orta şiddette açık da kapattı:
- Hassas verilere erişim sağlayın veya bunları açığa çıkarın (CVE-2023-5933, CVE-2023-5612)
- Bir DoS koşulunu tetikleyin (CVE-2023-6159) ve
- Proje içinde oluşturdukları birleştirme isteklerini rastgele kullanıcılara atayın (CVE-2024-0456)
Bununla birlikte, GitLab CE/EE sürüm 16.5.8, 16.6.6 ve 16.7.4 yukarıda belirtilen kusurların tümü için yamalar içerirken, sürüm 16.8.1’in yalnızca CVE-2024-0402 için yamaya sahip olduğu unutulmamalıdır. .
Şirket, “GitLab.com ve GitLab Dedicated ortamları zaten yamalı sürümü çalıştırıyor” diye ekledi.