Gitea, açık kaynaklı ve kendinize ait barındırma imkanı sunan bir versiyon kontrol platformu, önemli bir güvenlik açığı ile gündeme geldi. Bu açık, yetkisiz saldırganların, hesap veya şifre olmaksızın özel konteyner görüntülerini çekmesine olanak tanımaktadır.
Saldırı Nasıl Çalışıyor?
Söz konusu açık, CVE-2026-27771 (CVSS skoru: N/A) koduyla izlenmektedir ve Gitea’nın 1.26.2 versiyonu öncesindeki tüm sürümlerini etkilemektedir. Noscope’a göre, bu güvenlik açığı, 30’dan fazla ülkede 30,000’den fazla dağıtımı etkilemektedir ve neredeyse dört yıl boyunca tespit edilememiştir.
Etkilenen Sistemler
Etki alanları arasında yoğun olarak:
- Çin
- Amerika Birleşik Devletleri
- Almanya
- Fransa
- Birleşik Krallık
Ayrıca, sağlık hizmeti sağlayıcıları, havacılık üreticileri, perakende altyapısı ve internet servis sağlayıcıları gibi çeşitli organizasyonlar da bu güvenlik açığından etkilenmiştir.
Çözüm ve Korunma
Noscope, etkilenen sürümlerde, konteyner deposunun özel olarak işaretlenmiş olmasının, işletmecilerin beklediği korumayı sağlamadığını belirtmiştir. Kullanıcıların Gitea’nın 1.26.2 sürümüne güncellemeleri önerilmektedir. Anlık bir çözüm olarak, Gitea yapılandırmasında [service].REQUIRE_SIGNIN_VIEW=true ayarının yapılması, bir geçici çözüm olarak değerlendirilebilir. Ancak, bazı konteynerlerin kasten kamuya açılması gerekiyorsa, bu yaklaşım ideal değildir.
Sonuç
Tüm Gitea kullanıcılarının, güvenlik açığını gidermek için 1.26.2 sürümüne güncellemeleri kritik öneme sahiptir. Eğer güncelleme hemen mümkün değilse, geçici bir çözüm olarak yukarıda belirtilen yapılandırma ayarını uygulamak düşünülmelidir. Bu tür güvenlik açıklarının önüne geçmek için, sistemlerinizin güncellemelerini düzenli olarak kontrol etmeyi unutmayın.
