GitLab, saldırganların planlanan güvenlik tarama politikaları aracılığıyla boru hatlarını diğer kullanıcılar olarak çalıştırmasına olanak tanıyan kritik bir ciddiyet güvenlik açığını ele almak için güvenlik güncellemeleri yayınladı.
GitLab, ücretsiz ve ticari bir sürüm sunan popüler bir web tabanlı açık kaynaklı yazılım proje yönetimi ve iş izleme platformudur.
Kusura CVE-2023-5009 (CVSS v3.1 puanı: 9.6) atandı ve GitLab Topluluğu Sürümü (CE) ve Enterprise Edition (EE) sürümleri 13.12 ila 16.2.7 ve 16.3 ila 16.3.4 sürümleri.
Sorun, Gitlab'ın Ağustos ayında sabitlenen CVE-2023-3932 olarak izlenen orta şiddetli bir problemin baypası olduğunu söyleyen güvenlik araştırmacısı ve böcek avcısı Johan Carlsson tarafından keşfedildi.
Araştırmacı, uygulanan korumaların üstesinden gelmenin bir yolunu keşfetti ve kusurun ciddiyet derecesini kritik şiddete yükselten ek bir etki gösterdi.
Kullanıcıları, boru hattı görevlerini (bir dizi otomatik görev) çalıştırmak için bilgi veya izni olmadan taklit etmek, saldırganların hassas bilgilere erişmesine veya Kişiselleştirilmiş Kullanıcının kod çalıştırma, verileri değiştirme veya GitLab sistemi içindeki belirli olayları tetikleme izinlerini kötüye kullanmasına neden olabilir.
GitLab'ın kodu yönetmek için kullanıldığı düşünüldüğünde, böyle bir uzlaşma fikri mülkiyet kaybına, veri sızıntılarına, tedarik zinciri saldırılarına ve diğer yüksek riskli senaryolara zarar verebilir.
Gitlab'ın bülteni, kullanıcıları mevcut güvenlik güncellemelerini derhal uygulamaya çağırarak güvenlik açığının ciddiyetinin altını çiziyor.
CVE-2023-5009'u çözen sürümler GitLab Community Edition and Enterprise Edition 16.3.4 ve 16.2.7'dir.
Güvenlik sorunu için düzeltmeler almayan 16.2'den önceki sürümler kullanıcıları için önerilen azaltma, hem "doğrudan transferler" hem de "güvenlik politikaları" nın açılmasını önlemektir.
Her iki özellik de etkinse, örnek savunmasızdır, bülten uyarır, bu nedenle kullanıcılara birer birer açmaları tavsiye edilir.
Kullanıcılar GitLab'ı buradan güncelleyebilir veya bu resmi web sayfasından Gitlab Runner paketleri alabilir.
Microsoft Eylül 2023 Patch Salı 2 sıfır gün, 59 kusur düzeltiyor
Cisco Broadworks Kritik Kimlik Doğrulama Baypası Kusurundan Etkilendi
WordPress Taşıma Eklentisi Kalıp veri ihlallerine yol açabilir
Microsoft Ağustos 2023 Patch Salı 2 sıfır gün, 87 kusur uyarıyor
Norveç hükümeti BT sistemleri sıfır gün kusurunu kullanarak hacklendi
Kaynak: Bleeping Computer