GitLab, kritik bir keyfi şube boru hattı yürütme kusuru da dahil olmak üzere Community Edition (CE) ve Enterprise Edition'daki (EE) birden fazla kusuru ele almak için güvenlik güncellemeleri yayınladı.
CVE-2024-9164 olarak izlenen güvenlik açığı, yetkisiz kullanıcıların bir deponun herhangi bir dalındaki sürekli entegrasyon/sürekli dağıtım (CI/CD) boru hatlarını tetiklemesine izin verir.
CI/CD boru hatları, normalde yalnızca uygun izinleri olan kullanıcılar için kullanılabilir olan kod oluşturma, test ve dağıtım gibi görevleri gerçekleştiren otomatik işlemlerdir.
Şube korumalarını atlayabilen bir saldırgan potansiyel olarak kod yürütme yapabilir veya hassas bilgilere erişim sağlayabilir.
CVSS V3.1 derecesi almış olan ve kritik puan alan sorun, 12.5 ve 17.2.8'e kadar, 17.3'ten 17.3.4'e ve 17.4'e kadar 17.4.1'e kadar etkilenen tüm GitLab EE sürümlerini etkiler. .
Yamalar, GITLAB kullanıcıları için yükseltme hedefleri olan 17.4.2, 17.3.5 ve 17.2.9 sürümlerinde sunulmuştur.
Gitlab'ın güvenlik bültenini, "Aşağıda açıklanan sorunlardan etkilenen bir versiyonu çalıştıran tüm kurulumların en kısa sürede en kısa sürede yükseltilmesini şiddetle tavsiye ediyoruz."
GitLab adanmış müşterilerin herhangi bir işlem yapması gerekmediği açıklığa kavuşturulur, çünkü bulutta barındırılan örnekleri her zaman mevcut en son sürümü çalıştırır.
CVE-2024-9164 ile birlikte, en son GITLAB sürümleri aşağıdaki güvenlik sorunlarını ele almaktadır:
GitLab boru hatları son zamanlarda platform ve kullanıcıları için sürekli bir güvenlik açıkları kaynağı olduğunu kanıtlamıştır.
GITLAB, geçen ay CVE-2024-6678, Temmuz ayında CVE-2024-6385 ve Haziran ayında CVE-2024-5655 dahil olmak üzere bu yıl birçok kez keyfi boru hattı yürütme güvenlik açıklarını ele aldı.
Talimatlar, kaynak kodu ve paketler için GitLab'ın resmi indirme portalına göz atın. En son Gitlab Runner paketleri burada mevcuttur.
GitLab kritik boru hattı yürütme güvenlik açığı konusunda uyarıyor
GitLab, kritik SAML kimlik doğrulama bypass kusuru için düzeltme
Sonicwall, Sonicos'ta kritik erişim kontrolü kusurunu uyarıyor
Mozilla, Firefox'u Saldırılarda Aktif Olarak Sömürülen Zero-Day'i düzeltir
Yeni tarayıcı, Cups RCE saldırılarına maruz kalan Unix sunucuları Linux'u bulur
Kaynak: Bleeping Computer