GitLab, yazılım geliştirme platformundaki güvenlik açıklarını kapatmak için bir dizi güncelleme daha yayınladı. Bunlar arasında, bir saldırganın herhangi bir kullanıcı olarak işlem hattı işlerini çalıştırmasına olanak tanıyan kritik bir hata da yer alıyor.
CVE-2024-6385 olarak takip edilen güvenlik açığının CVSS puanı ise 10.0 üzerinden 9.6 olarak belirlendi.
Şirket, “GitLab CE/EE’de 16.11.6’dan önceki 15.8, 17.0.4’ten önceki 17.0 ve 17.1.2’den önceki 17.1 sürümlerini etkileyen bir sorun keşfedildi. Bu sorun, bir saldırganın belirli koşullar altında başka bir kullanıcı olarak bir boru hattını tetiklemesine olanak tanıyor” dedi. söz konusu Çarşamba günü yapılan bir duyuruda.
Şirketin geçen ayın sonlarında benzer bir hatayı (CVE-2024-5655, CVSS puanı: 9.6) düzelttiğini ve bunun da diğer kullanıcılar gibi veri hatlarını çalıştırmak için silah olarak kullanılabileceğini belirtmekte fayda var.
GitLab ayrıca, admin_compliance_framework izinlerine sahip bir Geliştirici kullanıcısının bir grup ad alanı için URL’yi değiştirmesine izin veren orta düzeyde bir sorun (CVE-2024-5257, CVSS puanı: 4,9) da ele aldı.
GitLab Community Edition (CE) ve Enterprise Edition (EE) 17.1.2, 17.0.4 ve 16.11.6 sürümlerinde tüm güvenlik eksiklikleri giderildi.
Açıklama Citrix’in piyasaya sürülmüş NetScaler Konsolu’nu (eski adıyla NetScaler ADM), NetScaler SDX’i ve NetScaler Aracısı’nı etkileyen kritik, uygunsuz bir kimlik doğrulama hatasına ilişkin güncellemeler (CVE-2024-6235, CVSS puanı: 9,4) ve bu durum bilgi ifşasına yol açabilir.
Broadcom ayrıca iki orta şiddette enjeksiyon açığı için yamalar yayınladı VMware Bulut Yöneticisi (CVE-2024-22277, CVSS puanı: 6,4) ve VMware Aria Otomasyonu (CVE-2024-22280, CVSS puanı: 8,5) özel olarak hazırlanmış HTML etiketleri ve SQL sorguları kullanılarak kötü amaçlı kod yürütmek için kötüye kullanılabilir.
CISA, Yazılım Kusurlarını Ele Almak İçin Bültenler Yayımladı
Gelişmeler ayrıca, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI) tarafından yayınlanan ve teknoloji üreticilerini, tehdit aktörlerinin ağ kenarı aygıtlarında uzaktan kod yürütmesine olanak tanıyan yazılımlardaki işletim sistemi (OS) komut enjeksiyon kusurlarını ayıklamaya çağıran yeni bir bültenin ardından geldi.
Bu tür kusurlar, temel işletim sisteminde yürütülecek komutlar oluşturulurken kullanıcı girdisinin yeterince temizlenmemesi ve doğrulanmaması durumunda ortaya çıkar ve bu da saldırganın kötü amaçlı yazılım dağıtımına veya bilgi hırsızlığına yol açabilecek keyfi komutları gizlice sokmasına olanak tanır.
“İşletim sistemi komut enjeksiyonu güvenlik açıkları, kullanıcı girdisinin bir komutun içeriğinden açıkça ayrılmasıyla uzun zamandır önlenebiliyor” diyor kurumlar. söz konusu“Bu bulguya rağmen, işletim sistemi komut enjeksiyonu güvenlik açıkları — bunların çoğu CWE-78 — hala yaygın bir güvenlik açığı sınıfıdır.”
Uyarı, CISA ve FBI tarafından yıl başından bu yana verilen üçüncü uyarıdır. Ajanslar daha önce, ortadan kaldırma ihtiyacı hakkında iki uyarı daha göndermişti SQL enjeksiyonu (SQLi) ve yol geçiş güvenlik açıkları Mart ve Mayıs 2024’te.
Geçtiğimiz ay CISA, Kanada ve Yeni Zelanda’daki siber güvenlik ajanslarıyla birlikte işletmelere daha sağlam güvenlik çözümleri benimsemelerini öneren bir rehber yayınladı; örneğin: Sıfır GüvenGüvenli Hizmet Kenarı (SSE), ve Güvenli Erişim Hizmeti Kenarı (SAS) — ağ etkinliğinin daha iyi görünürlüğünü sağlar.
Yazar kuruluşlar, “Bu çözümler, politika karar motorları aracılığıyla kararları sunmak için risk tabanlı erişim kontrol politikalarını kullanarak, güvenliği ve erişim kontrolünü entegre ederek, uyarlanabilir politikalar aracılığıyla bir kuruluşun kullanılabilirliğini ve güvenliğini güçlendiriyor” dedi. kayıt edilmiş.