30 Ocak 2024Haber odasıDevSecOps / Güvenlik Açığı

GitLab, Topluluk Sürümü (CE) ve Enterprise Sürümü’nde (EE) bir ağ oluştururken rastgele dosyalar yazmak için kullanılabilecek kritik bir güvenlik kusurunu gidermek için bir kez daha düzeltmeler yayınladı. çalışma alanı.

Şu şekilde izlendi: CVE-2024-0402Güvenlik açığının CVSS puanı maksimum 10 üzerinden 9,9’dur.

“GitLab CE/EE’de, 16.5.8’den önceki 16.0, 16.6.6’dan önceki 16.6, 16.7.4’ten önceki 16.7 ve 16.8.1’den önceki 16.8’in tüm sürümlerini etkileyen ve kimliği doğrulanmış bir kullanıcının yazmasına olanak tanıyan bir sorun keşfedildi bir çalışma alanı oluştururken dosyaları GitLab sunucusundaki rastgele konumlara kopyalayın,” GitLab söz konusu 25 Ocak 2024’te yayınlanan bir danışma belgesinde.

Şirket ayrıca hataya yönelik yamaların 16.5.8, 16.6.6, 16.7.4 ve 16.8.1’e desteklendiğini de belirtti.

Ayrıca GitLab tarafından, düzenli ifade hizmet reddine (ReDoS), HTML enjeksiyonuna ve bir kullanıcının genel e-posta adresinin RSS beslemesi etiketleri aracılığıyla ifşa edilmesine yol açabilecek dört orta şiddette kusur da çözüldü.

En son güncelleme, DevSecOps platformunun, herhangi bir kullanıcı etkileşimi gerektirmeden hesapları ele geçirmek için kötüye kullanılabilecek biri de dahil olmak üzere iki kritik eksikliği kapatmak için düzeltmeler göndermesinden iki hafta sonra geldi (CVE-2023-7028, CVSS puanı: 10,0).

Kullanıcıların, olası riskleri azaltmak için kurulumları mümkün olan en kısa sürede yamalı sürüme yükseltmeleri önerilir. GitLab.com ve GitLab Dedicated ortamları zaten en son sürümü çalıştırıyor.



siber-2