Gitlab kritik bir güvenlik açığı konusunda uyardı – ivobot

Gitlab, kritik bir güvenlik açığı konusunda uyarıyor ve kullanıcıları hemen güncelleme yapmaya çağırıyor. Deponun kurumsal sürümleri ve DevOp hizmeti 13.12 ila 16.2.6 veya sürüm 16.3 etkilenir. 16.3.3’e kadar. 16.2’den önceki sürümler. ancak “Doğrudan Transferler” ve “Menkul Değerler Politikaları” fonksiyonlarının aynı anda etkinleştirilmesi durumunda risk altındadır.

Duyuru

Bu sürümlerle kullanıcılar iki seçenekten birini devre dışı bırakarak kendilerini koruyabilirler. Gitlab 16.3.4 ve 16.2.7 güncellemeleri güvenlik açıklarını tamamen kapatacaktır.

Gitlab güvenlik açığı, saldırganların yükseltilmiş ayrıcalıklar kazanmasına ve yaygın kontrol elde etmesine olanak tanır.

(Resim: ekran görüntüsü / iX)

CVE-2023-5009 numaralı güvenlik açığı hakkında çok az ayrıntı biliniyor, ancak bu, yalnızca ortalama CVSS puanı 5, 3 olan CVE-2023-3932 CVE girişiyle güvenlik açığına yönelik hata düzeltmeleri için bir geçici çözümdür. Tehdit seviyesi . Kısacası güvenlik açığı, saldırganların, planlanmış güvenlik taramaları yoluyla herhangi bir kullanıcı gibi Git işlem hattı işlemlerini yürütmesine olanak tanıyor. Gitlab geliştiricileri güvenlik açığı riskini CVSS puanıyla derecelendiriyor 9.8 GİBİ eleştirmen A.

Güvenlik açığı, yaygın zayıflıklar numaralandırma numarası CWE-284 olan uygunsuz bir erişim kontrolünden kaynaklanmaktadır. Bu, saldırganların yükseltilmiş ayrıcalıklara sahip olabileceği, hassas verilere erişebileceği ve komutları çalıştırabileceği anlamına gelir.

Joaxcar isimli BT güvenlik araştırmacısı Johan Carlsson, güvenlik açığını keşfetti, bunu hata ödül platformu Hacker One’da bildirdi ve 29.000 $ tutarında bir ödül toplamayı başardı. Gitlab ayrıca güncellemelerle bir dizi küçük hatayı da düzeltir.

Gitlab en son Mayıs ayında bir güvenlik kusurunu gidermişti. Güvenlik açığı veri sızıntısına yol açmış olabilir.


(DSÖ)

Haberin Sonu

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir