GitLab, bir saldırganın Github içe aktarma yoluyla uzaktan komut yürütme gerçekleştirmesini sağlayabilecek kritik bir güvenlik açığını gidermek için kullanıcıları, topluluk ve kurumsal sürümlerinin 15.1, 15.2 ve 15.3 şubeleri için bir güvenlik güncellemesi yüklemeye çağırıyor.
GitLab, kodlarını uzaktan yönetmesi gereken geliştirici ekipleri için web tabanlı bir Git deposudur. Yaklaşık 30 milyon kayıtlı kullanıcısı ve bir milyon ödeme yapan müşterisi var.
Bu güvenlik güncelleştirmesi tarafından giderilen güvenlik açığı, CVE-2022-2884 olarak izlenir ve 9.9’luk bir CVSS v3 kritiklik puanına atanır. 11.3.4’ten 15.1.4’e kadar olan tüm sürümleri, 15.2 ile 15.2.3 ve 15.3 arasındaki sürümleri etkiler.
Ayrıca GitLab, dağıtım türünün (omnibus, kaynak kodu, dümen şeması vb.) hepsinin etkilendiği için bir fark yaratmadığının altını çiziyor.
Uzaktan komut yürütme, uzak saldırganların hedef makinede kötü amaçlı kod çalıştırmasına, kötü amaçlı yazılım ve arka kapılar enjekte etmesine veya savunmasız uç noktanın tam kontrolünü ele geçirmesine olanak tanıyan güçlü bir kusur türüdür.
Bu güvenlik açığını kullanarak, bir tehdit aktörü sunucunun kontrolünü ele geçirebilir, kaynak kodunu çalabilir veya silebilir, kötü niyetli taahhütler gerçekleştirebilir ve daha fazlasını yapabilir.
Sorunu çözen en son GitLab sürümleri 15.3.1, 15.2.3 ve 15.1.5’tir ve kullanıcıların hemen yükseltmeleri önerilir.
“Aşağıda açıklanan sorunlardan etkilenen bir sürümü çalıştıran tüm kurulumların mümkün olan en kısa sürede en son sürüme yükseltilmesini şiddetle tavsiye ediyoruz”, diyor. GitLab’ın yayın duyurusu.
geçici çözüm
Herhangi bir nedenle güvenlik güncellemelerini yüklemek mümkün değilse GitLab, tüm yazılım projelerini GitHub’dan GitLab’a aktarmak için kullanılan bir araç olan GitHub içe aktarmanın devre dışı bırakılmasından oluşan bir geçici çözüm uygulamanızı önerir.
Geçici çözümü uygulamak için aşağıdaki adımları izleyin:
- GitLab kurulumunuza bir yönetici hesabı kullanarak giriş yapın
- “Menü” -> “Yönetici” ye tıklayın
- “Ayarlar” -> “Genel” e tıklayın
- “Görünürlük ve erişim denetimleri” sekmesini genişletin
- “Kaynakları içe aktar” altında “GitHub” seçeneğini devre dışı bırakın
- “Değişiklikleri kaydet”e tıklayın
Geçici çözümün doğru şekilde uygulandığını doğrulamak için şu adımları izleyin:
- Bir tarayıcı penceresinde herhangi bir kullanıcı olarak oturum açın.
- Üst çubukta “+” düğmesini tıklayın.
- “Yeni proje/depo” üzerine tıklayın.
- “Projeyi içe aktar”a tıklayın.
- “GitHub” öğesinin içe aktarma seçeneği olarak görünmediğini doğrulayın
GitLab kurulumunuzu nasıl güncelleyeceğinize ilişkin talimatlar için projenin resmi güncelleme portalı.
Tipik olarak, güçlü kusurlar, güvenlik güncellemelerinin yayımlanması yoluyla ifşa edildikten birkaç gün sonra aktif yararlanma durumuna girer. Bu nedenle, önerilen güncellemeleri veya azaltmaları mümkün olan en kısa sürede uygulamanız şiddetle tavsiye edilir.