Kritik bir güvenlik açığı, GitLab topluluğunun ve Enterprise Edition ürünlerinin herhangi bir kullanıcı olarak çalıştırmak için kullanılabilecek belirli sürümlerini etkilemektedir.
GitLab, popüler bir web tabanlı açık kaynaklı yazılım proje yönetimi ve iş izleme platformudur. Tahmini bir milyon aktif lisans kullanıcısı var.
Kalıcı güncellemede ele alınan güvenlik sorunu CVE-2024-5655 olarak izlenir ve 10 üzerinden 9,6'lık bir şiddet puanına sahiptir. Satıcının tanımlamadığı belirli koşullar altında, bir saldırgan başka bir kullanıcı olarak bir boru hattını tetiklemek için onu kullanabilir .
GitLab boru hatları, kullanıcıların kod değişikliklerini oluşturmak, test etmek veya dağıtmak için süreçleri ve görevleri otomatik olarak çalıştırmalarını sağlayan sürekli entegrasyon/sürekli dağıtım (CI/CD) sisteminin bir özelliğidir.
Güvenlik açığı, tüm GitLab CE/EE sürümlerini 15.8 ila 16.11.4, 17.0.0 ila 17.0.2 ve 17.1.0 ila 17.1.0 arasında etkiler.
GitLab, 17.1.1, 17.0.3 ve 16.11.5 sürümlerini yayınlayarak güvenlik açığını ele aldı ve kullanıcıların güncellemeleri mümkün olan en kısa sürede uygulamalarını önerir.
Satıcı ayrıca, en son sürümlere yükseltmenin, kullanıcıların bilmesi gereken iki kırılma değişikliği ile birlikte geldiğini bildirir:
En son GITLAB güncellemesi, diğer 13 sayı için güvenlik düzeltmeleri de sunuyor, bunların üçü “yüksek” olarak derecelendirildi (CVSS v3.1 puanı: 7.5 - 8.7). Bu üçü aşağıdaki gibi özetlenmiştir:
GitLab güncellemeleri için kaynaklar burada mevcuttur, GitLab Runner yönergeleri bu sayfada bulunabilir.
Kritik Fortra Filecatalyst iş akışı için istismar
Bilgisayar korsanları yeni moveit transferi kritik kimyasal bypass hatasını hedef
CISA: Memory Güvenli Kod kullanmayan en kritik açık kaynak projeleri
Siber güvenlik satıcınız güvenlik açığı düzeltmeleri konusunda şeffaf mı?
Kimyasal tesisler CISA CSAT ihlalinde olası veri hırsızlığı konusunda uyarıldı
Kaynak: Bleeping Computer