GitLab, iki ürününde bulunan kritik bir güvenlik açığı için bir düzeltme yayınladı ve kullanıcılara yamayı hemen uygulamaları söylendi.
GitLab, kullanıcıların kodlarını uzaktan yönetmesi gereken geliştirici ekipleri tarafından kullanılan yazılımları geliştirmesine, güvenliğini sağlamasına ve çalıştırmasına olanak tanıyan ve bir milyon ödeme yapan müşteri dahil yaklaşık 30 milyon kayıtlı kullanıcıya sahip bir DevOps yazılım paketidir.
Şirket kısa süre önce CVE-2023-2825 olarak izlenen bir yol geçişi kusuru keşfetti. Bu güvenlik açığı, kimliği doğrulanmamış saldırganların belirli koşullar karşılandığında sunucudaki rasgele dosyaları okumasına olanak tanır. Sonuç olarak, tehdit aktörleri, savunmasız uç noktalardan özel yazılım kodu, kullanıcı kimlik bilgileri ve daha fazlası gibi hassas verileri okuyabilir. Şu anda daha fazla ayrıntı mevcut değil, GitLab yamadan bir ay sonra daha fazlasını söyleyeceğini söylüyor.
Gümüş kaplama
Kusura 10/10 önem derecesi verildi ve GitLab Community Edition (CE) ve Enterprise Edition (EE) sürüm 16.0.0’da bulundu. Tüm eski sürümler etkilenmez, ancak GitLab yine de kullanıcıların düzeltmeyi uygulamalarını ve araçları 16.0.1 sürümüne getirmelerini önerir.
GitLab, düzeltmeyle birlikte yayınlanan bir güvenlik danışma belgesinde, “Aşağıda açıklanan sorunlardan etkilenen bir sürümü çalıştıran tüm kurulumların mümkün olan en kısa sürede en son sürüme yükseltilmesini şiddetle tavsiye ediyoruz.” “Bir ürünün belirli bir dağıtım türünden (çok amaçlı araç, kaynak kodu, dümen şeması vb.) söz edilmediğinde, bu tüm türlerin etkilendiği anlamına gelir.”
Araştırmacılar, kusurdan yararlanmak için en az beş grup içinde yer alan bir kamu projesinde bir ek olması gerektiğini söyledi. Buradaki umut ışığı, tüm GitHub projelerinde bulunan yapının bu olmamasıdır. Bununla birlikte, kusur için geçici bir çözüm olmadığı ve tehlikede olan çok fazla şey olduğu için şirket herkesi düzeltmeyi uygulamaya çağırdı.
GitLab kurulumunu güncellemek için, kullanıcı bulunan talimatları takip etmelidir. Burada.
- Tesislerinizi güvende tutmak için şu anda en iyi güvenlik duvarlarından birini kaptığınızdan emin olun
Aracılığıyla: BleepingBilgisayar
