GitLab sürüm yönetimi operatörleri, 16.5 ila 16.8 sürümleri için güvenlik yamaları yayınladı. Güncellemeler, Çalışma Alanları oluşturulurken dosyaların rastgele yazılmasına izin veren kritik bir güvenlik açığını kapatıyor. Ayrıca diğer dört eksikliği de gideriyor. Hem GitLab Community Edition (CE) hem de Enterprise Edition (EE) etkilenir.
Duyuru
Kritik güvenlik açıklarında her zaman olduğu gibi sürüm notları, en son sürümün mümkün olan en kısa sürede kurulması yönünde acil öneri içerir. Bu kesinlikle kesin bir şey değil: BT araştırmacıları, iki haftadır zaten bir yamanın mevcut olduğu daha eski, daha kritik bir güvenlik açığı içeren çevrimiçi birkaç GitLab sunucusu buldular.
Çalışma alanları oluştururken genişletilmiş yazma izinleri
En son güvenlik açığı, Mitre veritabanındaki CVE (Ortak Güvenlik Açıkları ve Etkilenmeler) girişinde CVE-2024-0402'yi içeriyor; bu yazının yazıldığı sırada yalnızca gizli olarak işaretlenmiş ve açıklaması yoktu. GitLab, güvenlik açığını kritik olarak sınıflandırıyor ve ona 9,9/10 CVSS puanı veriyor.
GitLab sürüm notlarına göre güvenlik açığı, kimliği doğrulanmış kullanıcıların çalışma alanları oluştururken GitLab sunucusunun herhangi bir yerine dosya yazmasına olanak tanıyor. GitLab Series 16'nın tamamı etkilendi. 16.8.1, 16.7.4, 16.6.6 ve 16.5.8 yama sürümleri artık 16.5'ten 16.8'e kadar olan küçük sürümler için mevcuttur. GitLab'ın güncel sürümü 16.8'dir.
Hata düzeltme sürümleri, kritik güvenlik açığına ek olarak, kritik olarak sınıflandırılmayan ancak orta derecede ciddi olan diğer dört güvenlik açığını da ele alıyor. Sahte saldırganlar, diğer şeylerin yanı sıra, rastgele kullanıcılara, oluşturdukları istekleri projede birleştirmeleri talimatını verebilir. Ayrıntıları sürüm notlarında bulabilirsiniz.
Yama uygulaması tüm GitLab yöneticileri için geçerli değildir
Görünüşe göre GitLab sunucu yöneticilerinin tümü, güncellemeleri mümkün olduğu kadar çabuk yükleme tavsiyesini ciddiye almıyor. En son yama sürümü, siber araştırmacıların dünya çapında 5.379 İnternet erişimli GitLab sunucusunda bir güvenlik açığı bulduklarını bildirmesinden kısa bir süre sonra geldi ve bu güvenlik açığına yönelik bir yama, araştırma sırasında iki haftadır zaten mevcuttu.
CVE-2023-7028 güvenlik açığı, saldırganların doğrulanmamış e-posta adreslerine parola sıfırlama e-postaları göndermesine ve ardından rastgele hesapları ele geçirmesine olanak tanıyor. Almanya, yama yapılmamış GitLab sunucularının sayısı açısından utanç verici bir şekilde ikinci sırada yer aldı ve 730 sistemle Amerika Birleşik Devletleri'nin (964) gerisinde ve Rusya'nın (721) hemen önünde yer aldı.
(kendim)
Haberin Sonu
Duyuru
Kritik güvenlik açıklarında her zaman olduğu gibi sürüm notları, en son sürümün mümkün olan en kısa sürede kurulması yönünde acil öneri içerir. Bu kesinlikle kesin bir şey değil: BT araştırmacıları, iki haftadır zaten bir yamanın mevcut olduğu daha eski, daha kritik bir güvenlik açığı içeren çevrimiçi birkaç GitLab sunucusu buldular.
Çalışma alanları oluştururken genişletilmiş yazma izinleri
En son güvenlik açığı, Mitre veritabanındaki CVE (Ortak Güvenlik Açıkları ve Etkilenmeler) girişinde CVE-2024-0402'yi içeriyor; bu yazının yazıldığı sırada yalnızca gizli olarak işaretlenmiş ve açıklaması yoktu. GitLab, güvenlik açığını kritik olarak sınıflandırıyor ve ona 9,9/10 CVSS puanı veriyor.
GitLab sürüm notlarına göre güvenlik açığı, kimliği doğrulanmış kullanıcıların çalışma alanları oluştururken GitLab sunucusunun herhangi bir yerine dosya yazmasına olanak tanıyor. GitLab Series 16'nın tamamı etkilendi. 16.8.1, 16.7.4, 16.6.6 ve 16.5.8 yama sürümleri artık 16.5'ten 16.8'e kadar olan küçük sürümler için mevcuttur. GitLab'ın güncel sürümü 16.8'dir.
Hata düzeltme sürümleri, kritik güvenlik açığına ek olarak, kritik olarak sınıflandırılmayan ancak orta derecede ciddi olan diğer dört güvenlik açığını da ele alıyor. Sahte saldırganlar, diğer şeylerin yanı sıra, rastgele kullanıcılara, oluşturdukları istekleri projede birleştirmeleri talimatını verebilir. Ayrıntıları sürüm notlarında bulabilirsiniz.
Yama uygulaması tüm GitLab yöneticileri için geçerli değildir
Görünüşe göre GitLab sunucu yöneticilerinin tümü, güncellemeleri mümkün olduğu kadar çabuk yükleme tavsiyesini ciddiye almıyor. En son yama sürümü, siber araştırmacıların dünya çapında 5.379 İnternet erişimli GitLab sunucusunda bir güvenlik açığı bulduklarını bildirmesinden kısa bir süre sonra geldi ve bu güvenlik açığına yönelik bir yama, araştırma sırasında iki haftadır zaten mevcuttu.
CVE-2023-7028 güvenlik açığı, saldırganların doğrulanmamış e-posta adreslerine parola sıfırlama e-postaları göndermesine ve ardından rastgele hesapları ele geçirmesine olanak tanıyor. Almanya, yama yapılmamış GitLab sunucularının sayısı açısından utanç verici bir şekilde ikinci sırada yer aldı ve 730 sistemle Amerika Birleşik Devletleri'nin (964) gerisinde ve Rusya'nın (721) hemen önünde yer aldı.
(kendim)
Haberin Sonu