DevOps platformu GitLab, potansiyel olarak kötüye kullanılması durumunda bir saldırganın hesapların kontrolünü ele geçirmesine izin verebilecek kritik bir güvenlik açığını gidermek için yazılım güncellemeleri yayınladı.
olarak izlendi CVE-2022-1162sorunun CVSS puanı 9.1 ve GitLab ekibi tarafından dahili olarak keşfedildiği söyleniyor.
“Bir bilgisayar kullanılarak kaydedilen hesaplar için sabit kodlanmış bir parola belirlendi. OmniAuth sağlayıcısı (örneğin, OAuth, LDAP, SAML) GitLab CE/EE 14.7’den önceki 14.7, 14.8.5’ten önceki 14.8 ve 14.9.2’den önceki 14.9 sürümlerinde saldırganların potansiyel olarak hesapları ele geçirmesine izin veriyor,” şirket dedim 31 Mart’ta yayınlanan bir danışma belgesinde.
GitLab Community Edition (CE) ve Enterprise Edition (EE) için 14.9.2, 14.8.5 ve 14.7.7 sürümlerinin en son sürümüyle hatayı gideren GitLab, aynı zamanda parola sıfırlama adımını da attığını söyledi. çok dikkatli olunması nedeniyle belirsiz sayıda kullanıcı.
“Araştırmamız, kullanıcıların veya hesapların güvenliğinin ihlal edildiğine dair hiçbir belirti göstermiyor” diye ekledi.
Şirket ayrıca bir komut dosyası yayınladı kendi kendini yöneten örneklerin yöneticilerinin, CVE-2022-1162’den potansiyel olarak etkilenen hesapları seçmek için çalıştırabileceği. Etkilenen hesaplar belirlendikten sonra, bir parola sıfırlaması önerildi.
Güvenlik güncellemesinin bir parçası olarak GitLab tarafından ayrıca, iki yüksek önem derecesine sahip depolanmış siteler arası komut dosyası çalıştırma (XSS) hataları (CVE-2022-1175 ve CVE-2022-1190) ile dokuz orta önem derecesine sahip kusur ve bunlar arasında yer alan beş sorun ele alınmaktadır. şiddeti düşük olarak derecelendirilmiştir.
Bazı sorunların kritikliği ışığında, etkilenen yüklemeleri çalıştıran kullanıcıların, mümkün olan en kısa sürede en son sürüme yükseltmeleri önemle tavsiye edilir.
