gitlab

Yeni Güvenlik Açığı Binlerce GitLab Örneğini Etkiliyor

Araştırmacılar, açık kaynaklı bir DevOps yazılımı olan GitLab'da, uzak, kimliği doğrulanmamış bir saldırganın kullanıcıyla ilgili bilgileri kurtarmasına potansiyel olarak izin verebilecek yamalı bir güvenlik açığının ayrıntılarını açıkladı.

CVE-2021-4191 (CVSS puanı: 5.3) olarak izlenen orta önemdeki kusur, 13.0'dan itibaren GitLab Community Edition ve Enterprise Edition'ın tüm sürümlerini ve 14.4'ten başlayan ve 14.8'den önceki tüm sürümleri etkiler.

Rapid7'de kıdemli bir güvenlik araştırmacısı olan Jake Baines, kusuru keşfetme ve bildirme konusunda kredilendirildi. 18 Kasım 2021'deki sorumlu açıklamanın ardından, 25 Şubat 2022'de gönderilen GitLab kritik güvenlik sürümleri 14.8.2, 14.7.4 ve 14.6.5'in bir parçası olarak yamalar yayınlandı.

Yeni Güvenlik Açığı Binlerce GitLab Örneğini Etkiliyor Click to Tweet

Baines Perşembe günü yayınlanan bir raporda, "Güvenlik açığı, belirli GitLab GraphQL API sorgularını yürütürken eksik bir kimlik doğrulama denetiminin sonucudur." dedi. "Uzak, kimliği doğrulanmamış bir saldırgan, kayıtlı GitLab kullanıcı adlarını, adlarını ve e-posta adreslerini toplamak için bu güvenlik açığını kullanabilir."

vulnerability-shodan

API bilgi sızıntısının başarılı bir şekilde kullanılması, kötü niyetli aktörlerin bir hedefe ait meşru kullanıcı adlarının listelerini sıralamalarına ve derlemelerine izin verebilir ve bu listeler daha sonra parola tahmin etme, parola püskürtme ve kimlik bilgisi doldurma dahil olmak üzere kaba kuvvet saldırıları gerçekleştirmek için bir basamak olarak kullanılabilecektir.

Baines, "Bilgi sızıntısı, bir saldırganın, yalnızca gitlab.com'dan değil, aynı zamanda internetten erişilebilen diğer 50.000 GitLab örneğinden GitLab kurulumlarına dayalı yeni bir kullanıcı adı kelime listesi oluşturmasına da olanak tanıyor." dedi.

Yama CVE-2021-4191'in yanı sıra, biri kritik bir sorun olan (CVE-2022-0735, CVSS puanı: 9.6), yetkisiz bir saldırganın kimlik doğrulaması yapmak ve GitLab örneklerinde barındırılan CI/CD işlerini yetkilendirin.

Kaynak: https://thehackernews.com/2022/03/new-security-vulnerability-affects.html

Bu içerik ilginizi çektiyse LinkedIn ve Twitter hesaplarımı takip edebilir, daha fazla içeriğe erişebilirsiniz.


E-posta listesine katılın

Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.

Haber bültenine kaydolduğunuz için teşekkürler!

Something went wrong.

Yorum Bırakın

Yeni Güvenlik Açığı Binlerce GitLab Örneğini Etkiliyor