DevSecOps ekosisteminin temel taşlarından biri olan GitLab, kullanıcılarını bir güvenlik açığının keşfedilmesinin ardından derhal harekete geçmeye çağırıyor. kritik güvenlik açığı sıfır tıklamayla hesap ele geçirmeye yol açabilecek bir güvenlik açığı. Olarak tanımlanan bu güvenlik açığı CVE-2023-7028'nin en yüksek ciddiyet puanı verilmiştir. 10/10Bu da etkilenen sistemler üzerinde ciddi etki potansiyeline işaret etmektedir.
GitLab'in Yazılım Geliştirmedeki Önemli Rolü
GitLab sadece bir kod deposu değildir; sürekli entegrasyon ve dağıtım (CI/CD), sorun izleme ve daha fazlası için araçlar sunan yazılım geliştirme yaşam döngüsünün ayrılmaz bir parçasıdır. Özel koda, API anahtarlarına ve hassas verilere erişimi göz önüne alındığında, GitLab'ın güvenliğindeki bir ihlal dünya çapındaki kuruluşlar için yıkıcı sonuçlar doğurabilir.
Kritik Güvenlik Açıklarına Daha Yakından Bir Bakış
En ciddi sorun, CVE-2023-7028saldırganların şifreleri doğrulanmamış e-posta adreslerine sıfırlayarak herhangi bir kullanıcı etkileşimi olmadan GitLab hesaplarını ele geçirmelerine olanak tanıyor. Endişe verici bir şekilde, iki faktörlü kimlik doğrulama (2FA) ile korunan hesaplar bile bu ilk sıfırlamaya karşı savunmasızdır, ancak oturum açma işlemini tamamlamak için yine de 2FA gerekecektir.
Bir başka kritik güvenlik açığı, CVE-2023-5356'lik bir ciddiyet skoru ile 9.6/10saldırganların Slack veya Mattermost'ta başka bir kullanıcının kimliğine bürünerek slash komutları yürütmesine olanak tanır. Bu, bu iletişim platformlarında yetkisiz eylemlerin gerçekleştirilmesine yol açabilir.
Bunlara ek olarak, düzeltilen diğer güvenlik açıkları şunlardır CVE-2023-4812, CVE-2023-6955ve CVE-2023-2030.
Güvenlik Açıklarından Etkilenen GitLab Sürümleri
Güvenlik açıkları özellikle bir dizi sürümü etkilemektedir:
- 16.1.5'ten önceki 16.1 sürümleri
- 16.2.8'den önceki 16.2 sürümleri
- 16.3.6'dan önceki 16.3 sürümleri
- 16.4.4'ten önceki 16.4 sürümleri
- 16.5.6'dan önceki 16.5 sürümleri
- 16.6.4'ten önceki 16.6 sürümleri
- 16.7.2'den önceki 16.7 sürümleri
Güvenlik Sorunlarını Gidermek için Güncellemeler Yayınlandı
GitLab, yazılımlarının düzeltilmiş sürümlerini yayınlayarak derhal yanıt verdi:
- Sürüm 16.7.2
- Sürüm 16.5.6
- Sürüm 16.6.4
Ayrıca, 16.1.6, 16.2.9 ve 16.3.7 sürümlerine geri destekli düzeltmeler uygulanmıştır.
Etkinin Değerlendirilmesi ve Uzlaşma Arayışları
için potansiyel tedari̇k zi̇nci̇ri̇ saldirilari CI/CD boru hatları aracılığıyla bu güvenlik açığını özellikle tehlikeli hale getirir. GitLab aktif bir istismar tespit etmemiştir ancak kullanıcılara tehlikeye girme belirtilerini kontrol etmelerini tavsiye etmektedir. Kullanıcılar kendi gitlab-rails/production_json.log
şüpheli HTTP istekleri için /users/password
ve onların gitlab-rails/audit_json.log
ile girişler için meta.caller.id
. ParolalarKontrolör1TP5Oluştur
.
GitLab Kullanıcıları için Acil Eylem Çağrısı
GitLab'ın güncelleme sayfası en son, güvenli sürümlere güncellemek için ayrıntılı talimatlar sağlar. GitLab Runner kullananlar için güncelleme tali̇matlari da mevcuttur. Satıcı, kendi kendine barındırılan kurulumlar için gerekli manuel güncellemelerle birlikte mümkün olan en kısa sürede güncelleme yapılmasını şiddetle tavsiye etmektedir.
Durumun Ciddiyetinin Yankılanması
GitLab, "Bir GitLab hesabının ele geçirilmesi, platform genellikle özel kod, API anahtarları ve diğer hassas verileri barındırmak için kullanıldığından, bir kuruluş üzerinde önemli bir etkiye sahip olabilir" uyarısında bulunuyor. CVE-2023-7028'i HackerOne aracılığıyla bildiren güvenlik araştırmacısı 'Asterion', bu sorunun gün ışığına çıkarılmasında önemli bir rol oynamıştır.
Sonuç: Güvenlik Güncellemelerinin Hayati Önemi
Sürekli gelişen siber güvenlik tehditleri ortamında, CVE-2023-7028 gibi güvenlik açıklarının keşfedilmesi ve hızlı bir şekilde çözülmesi hayati önem taşımaktadır. GitLab'e güvenen kuruluşlar, varlıklarını korumak ve operasyonlarının bütünlüğünü sürdürmek için bu güncellemelere öncelik vermelidir. GitLab yazılım geliştirmede önemli bir oyuncu olmaya devam ederken, platformunun güvenliği dijital tedarik zincirinin korunması için çok önemli olmaya devam ediyor.