Sign in Subscribe
2 min read

GitLab'dan Kritik Güvenlik Güncellemeleri

GitLab, Community Edition (CE) ve Enterprise Edition (EE) için önemli güvenlik güncellemeleri yayımladı. Bu güncellemeler, rastgele branches üzerinde Continuous Integration ve Continuous Delivery (CI/CD) pipelines çalıştırmaya olanak tanıyan kritik bir hata da dahil olmak üzere toplamda sekiz security flaw'u ele alıyor.

CVE-2024-9164 kodu ile tanımlanan bu zafiyetin CVSS skoru 10 üzerinden 9.6’dır.

GitLab, yaptığı açıklamada, "GitLab EE'de, 12.5 sürümünden 17.2.9'a kadar olan tüm sürümleri, 17.3 sürümünden 17.3.5'e kadar olan sürümleri ve 17.4 sürümünden 17.4.2'ye kadar olan sürümleri etkileyen bir sorun keşfedildi. Bu sorun, rastgele branches üzerinde pipelines çalıştırmaya olanak tanıyor." dedi.

Önemli Security Issues

Kalan yedi security issue'dan dördü yüksek, ikisi orta, biri ise düşük şiddette olarak sınıflandırılmıştır:

  • CVE-2024-8970 (CVSS skoru: 8.2): Belirli koşullar altında bir saldırganın başka bir kullanıcı olarak bir pipeline tetiklemesine izin vermektedir.
  • CVE-2024-8977 (CVSS skoru: 8.2): Product Analytics Dashboard yapılandırılmış ve etkinleştirilmiş GitLab EE örneklerinde SSRF saldırılarına olanak tanımaktadır.
  • CVE-2024-9631 (CVSS skoru: 7.5): Çatışmalarla ilgili merge requests'in farklılıklarını görüntüleme sırasında yavaşlamalara neden olmaktadır.
  • CVE-2024-6530 (CVSS skoru: 7.3): Yeni bir uygulamayı yetkilendirme sırasında OAuth sayfasında HTML injection'a yol açmaktadır; bu, bir site çapında XSS (Cross-Site Scripting) açığı nedeniyle gerçekleşmektedir.

Kullanıcıların Alması Gereken Önlemler

  1. Güncellemeleri Yükleyin: GitLab CE ve EE sürümlerinizi en son güvenlik güncellemeleriyle güncel tutun.
  2. Sistem İzleme: Sistemlerinizi sürekli izleyerek güvenlik açıklarını takip edin.
  3. Erişim Kontrolleri: Kullanıcı erişimlerini düzenleyerek yetkisiz erişimleri engelleyin.
  4. Güvenlik Testleri: Düzenli olarak güvenlik testleri yaparak zayıf noktaları tespit edin.
  5. Eğitim ve Farkındalık: Ekip üyelerinizi güvenlik konularında bilgilendirerek, potansiyel tehditlere karşı duyarlı olmalarını sağlayın.

Son olarak, GitLab, son aylarda pipelines ile ilgili birçok güvenlik açığını gündeme getirdi. Geçtiğimiz ay, bir saldırganın pipeline jobs olarak rastgele bir kullanıcı olarak çalıştırmasına olanak tanıyan başka bir kritik açığı (CVE-2024-6678, CVSS skoru: 9.9) ele aldı.

Zafiyetin aktif bir şekilde istismar edildiğine dair herhangi bir kanıt bulunmamakla birlikte, kullanıcıların potansiyel tehditlere karşı korunmak için sistemlerini en son sürüme güncellemeleri önemle tavsiye edilmektedir.

Published by:

Emin Buyuk

Member discussion