DevOps platformu GitLab bu hafta, yazılımında etkilenen sistemlerde rastgele kod yürütülmesine yol açabilecek kritik bir güvenlik açığını gidermek için yamalar yayınladı.
olarak izlendi CVE-2022-2884sorun CVSS güvenlik açığı puanlama sisteminde 9.9 olarak derecelendirilmiştir ve 11.3.4’ten 15.1.5’ten, 15.2’den 15.2.3’ten ve 15.3’ten 15.3’ten başlayarak GitLab Community Edition (CE) ve Enterprise Edition’ın (EE) tüm sürümlerini etkiler. 1.
Özünde, güvenlik zayıflığı, GitHub içe aktarma API’si aracılığıyla tetiklenebilen kimliği doğrulanmış bir uzaktan kod yürütme durumudur. GitLab kredilendirildi yvvdwf kusuru keşfetmek ve bildirmek ile.
Kritik kusurun başarılı bir şekilde kullanılması, kötü niyetli bir aktörün hedef makinede kötü amaçlı kod çalıştırmasını, kötü amaçlı yazılım ve arka kapılar enjekte etmesini ve hassas cihazların tam kontrolünü ele geçirmesini sağlayabilir.
15.3.1, 15.2.3, 15.1.5 sürümlerinde sorun çözülmüş olsa da, kullanıcılar GitHub içe aktarma seçeneğini geçici olarak devre dışı bırakarak kusura karşı koruma seçeneğine de sahiptir –
- “Menü” -> “Yönetici” ye tıklayın
- “Ayarlar” -> “Genel” e tıklayın
- “Görünürlük ve erişim denetimleri” sekmesini genişletin
- “Kaynakları içe aktar” altında “GitHub” seçeneğini devre dışı bırakın
- “Değişiklikleri kaydet”e tıklayın
Sorunun vahşi saldırılarda istismar edildiğine dair bir kanıt yok. Bununla birlikte, etkilenen bir yükleme çalıştıran kullanıcıların mümkün olan en kısa sürede en son sürüme güncelleme yapmaları önerilir.