Saldırganlar, hesapların kontrolünü ele geçirmek için kullanabilecekleri verilere erişim sağlamak amacıyla diğer şeylerin yanı sıra GitLab Community Edition ve Enterprise Edition'daki bir güvenlik açığından yararlanabilir.
Duyuru
Şu ana kadar devam eden bir saldırı bildirilmedi ancak yöneticilerin yine de geliştirme ortamını hızlı bir şekilde güncellemesi gerekiyor. Sonuçta, bu kapsamdaki saldırıların geniş kapsamlı sonuçları olabilir: Kötü amaçlı kod, geliştirilmiş bir uygulamanın koduna fark edilmeden girerse ve daha sonra indirilmek üzere kirlenirse, indiren her kişi Truva Atı'nı yakalayacaktır. Kötü amaçlı kod bir program kitaplığının güvenliğini ihlal ederse, onu içeren tüm yazılımlar kirlenir. Bu durumda tedarik zincirine yönelik bir saldırıdan bahsediyoruz.
En tehlikeli güvenlik açığı
Genel olarak, geliştiriciler harcadı 10/16/6, 11/16/3 VE 17.0.1 yedi güvenlik açığı kapatıldı. Bir yazıda tehdit düzeyinde bir güvenlik açığının (CVE-2024-4835) bulunduğunu yazıyorlar “yüksek“gizlendi.
Saldırganların bu XSS güvenlik açığından yararlanabilmesi için kurbanları, tek tıklatma saldırısıyla hassas kullanıcı bilgilerini gasp edecek şekilde oluşturdukları bir web sitesine çekmeleri gerekir. Bu daha sonra saldırganların hesabı ele geçirmesine yol açar.
Diğer tehlikeler
Kalan güvenlik açıkları tehdit düzeyiyle ilgilidir “orta“. Bu noktalarda DoS saldırıları gerçekleşebilir. Etkin bir şekilde izole edilmiş bilgilere erişim de düşünülebilir.
Bu yılın nisan ayında GitLab'daki geliştiriciler, saldırganların hesapların güvenliğini aşmasına olanak verebilecek güvenlik açıklarını kapattı. Mayıs 2024'ün başından bu yana ABD ajansı CISA, başka bir GitLab güvenlik açığına (CVE-2023-7028) yönelik saldırılar konusunda uyarıda bulundu ve federal yetkililere güvenlik açığını 22 Mayıs 2024'e kadar kapatmalarını emretti.
(İtibaren)
Haberin Sonu
Duyuru
Şu ana kadar devam eden bir saldırı bildirilmedi ancak yöneticilerin yine de geliştirme ortamını hızlı bir şekilde güncellemesi gerekiyor. Sonuçta, bu kapsamdaki saldırıların geniş kapsamlı sonuçları olabilir: Kötü amaçlı kod, geliştirilmiş bir uygulamanın koduna fark edilmeden girerse ve daha sonra indirilmek üzere kirlenirse, indiren her kişi Truva Atı'nı yakalayacaktır. Kötü amaçlı kod bir program kitaplığının güvenliğini ihlal ederse, onu içeren tüm yazılımlar kirlenir. Bu durumda tedarik zincirine yönelik bir saldırıdan bahsediyoruz.
En tehlikeli güvenlik açığı
Genel olarak, geliştiriciler harcadı 10/16/6, 11/16/3 VE 17.0.1 yedi güvenlik açığı kapatıldı. Bir yazıda tehdit düzeyinde bir güvenlik açığının (CVE-2024-4835) bulunduğunu yazıyorlar “yüksek“gizlendi.
Saldırganların bu XSS güvenlik açığından yararlanabilmesi için kurbanları, tek tıklatma saldırısıyla hassas kullanıcı bilgilerini gasp edecek şekilde oluşturdukları bir web sitesine çekmeleri gerekir. Bu daha sonra saldırganların hesabı ele geçirmesine yol açar.
Diğer tehlikeler
Kalan güvenlik açıkları tehdit düzeyiyle ilgilidir “orta“. Bu noktalarda DoS saldırıları gerçekleşebilir. Etkin bir şekilde izole edilmiş bilgilere erişim de düşünülebilir.
Bu yılın nisan ayında GitLab'daki geliştiriciler, saldırganların hesapların güvenliğini aşmasına olanak verebilecek güvenlik açıklarını kapattı. Mayıs 2024'ün başından bu yana ABD ajansı CISA, başka bir GitLab güvenlik açığına (CVE-2023-7028) yönelik saldırılar konusunda uyarıda bulundu ve federal yetkililere güvenlik açığını 22 Mayıs 2024'e kadar kapatmalarını emretti.
(İtibaren)
Haberin Sonu