Saldırganlar GitLab'daki ve saldırı sistemlerindeki çeşitli güvenlik açıklarından yararlanabilirler. Güncellenen sürümler bir çözüm sağlar. GitLab, yazılım geliştirme ve sürüm yönetimine yardımcı olur. Bir uyarı mesajının gösterdiği gibi, geliştiriciler Community ve Enterprise sürümlerinin onarılmış sürümlerine sahiptir 16.7.6, 16.8.3 VE 19.9.1 yayınlanan.
Duyuru
Geliştiriciler düzeltmeleri önerir. Daha önce saldırı olup olmadığı henüz bilinmiyor. Onlara göre Gitlab.com'da zaten korumalı bir sürüm çalışıyor.
Olası saldırılar
Kendi açıklamalarına göre sekiz güvenlik açığını kapattılar. Bir güvenlik açığının (CVE-2024-1451) tehdit düzeyi “yüksek“ Bu stel, saldırganların kurban adına keyfi eylemler gerçekleştirmek için kullanıcının profil sayfasına kalıcı bir XSS saldırısı başlatmasına olanak tanıyor.
Diğer güvenlik açıkları “orta” VE “Bas” Burada saldırganlar diğer şeylerin yanı sıra daha yüksek kullanıcı hakları elde edebilir veya kimlik doğrulama önlemlerini atlayabilir. Saldırıların nasıl ilerleyebileceği şu anda bilinmiyor. Güvenlik araştırmacıları boşlukların çoğunu Hackerone'un hata ödül programı aracılığıyla bildirdi.
Başka bir güvenlik riski
Bir güvenlik açığı nedeniyle (CVE-2024-0985 “yüksek“) PostgreSQL'de saldırganlar isteğe bağlı SQL komutları çalıştırabilir. Güvenlik açığı artık 12.18, 13.14, 14.11 ve 15.6 sürümlerinde düzeltildi. Ancak mevcut GitLab sürümlerine ilişkin değişiklik günlüğü, geliştiricilerin PostgreSQL çıktısını güvence altına aldığını göstermiyor. Yanıt Haberler'nin çevrimiçi olarak bu konuyla ilgili talebi hâlâ beklemede.
(İtibaren)
Bir yanıt yazın