GitLab xavfsizlik yangilanishi e‘lon qildi

GitLab o‘zining Community Edition (CE) va Enterprise Edition (EE) versiyalari uchun bir qator zaifliklarni, shu jumladan yuqori xavfli cross-site scripting (XSS) zaifligini tuzatishga qaratilgan muhim xavfsizlik yangilanishlarini e‘lon qildi.

Eng muhim zaiflik – bu ba‘zi fayl turlarining noto‘g‘ri ko‘rsatilishi natijasida paydo bo‘ladigan saqlangan XSS zaifligi (CVE-2025-0314). Ushbu muammo 17.2 dan 17.6.4 gacha, 17.7 dan 17.7.3 gacha va 17.8 dan 17.8.1 gacha bo‘lgan barcha versiyalarga ta‘sir qiladi. CVSS Ball: 8.7. Ushbu zaiflik hujumchilarga GitLab instansiyalariga zararli skriptlarni joylashtirish imkonini beradi. Bu esa seansni o‘g‘irlash, ma‘lumotlarni o‘g‘irlash yoki tizimni ruxsatsiz boshqarishga olib kelishi mumkin.

Muammo Asciidoctor vositasi orqali ba‘zi fayl turlarini noto‘g‘ri ko‘rsatish bilan bog‘liq bo‘lib, bu hujumchilarga zararli JavaScript kodlarini joylashtirish imkonini beradi. Ushbu kod foydalanuvchi brauzerida ishlaydi va foydalanuvchi sessiyalarini buzish yoki maxfiy ma‘lumotlarni oshkor qilish xavfini tug‘diradi.

CI/CD O‘zgaruvchilarini CI Lint Orqali O‘g‘irlash (CVE-2024-11931)

Ushbu o‘rtacha xavfli zaiflik (CVSS: 6.4) muayyan sharoitlarda dasturchilarga CI/CD o‘zgaruvchilarini CI lint funksiyasi orqali o‘g‘irlash imkonini berdi. U 17.0 versiyasidan boshlab tuzatish kiritilgan versiyalarga qadar bo‘lgan oraliqdagi barcha versiyalarga ta‘sir qiladi. Bu muammo GitLab xodimi Greg Myers tomonidan aniqlangan.

(CVE-2024-6324) Denial-of-Service (DoS) zaifligi (CVSS: 4.3) 15.7 versiyasidan boshlab tuzatish kiritilgan versiyalarga qadar bo‘lgan oraliqdagi barcha versiyalarga ta‘sir qiladi. Hujumchilar epiklar o‘rtasida tsiklik havolalar yaratib, tizim resurslarini tugatib, xizmatlarni uzib qo‘yishi mumkin.

GitLab barcha foydalanuvchilarga xavfsizlik zaifliklarini bartaraf etish uchun 17.8.1, 17.7.3 yoki 17.6.4 versiyalariga yangilanishni qat‘iy tavsiya qiladi.

Xavfni kamaytirish uchun quyidagilarni bajaring:

GitLab instansiyangizni muntazam yangilang.
Shubhali faoliyatni kuzatish uchun loglarni tekshirib turing.
Foydalanuvchilarni fishing xurujlarini tanib olish va o‘z vaqtida yangilanishlarni amalga oshirish bo‘yicha o‘rgating.
Davriy xavfsizlik auditlarini o‘tkazing.

GitLab‘ning ushbu xavfsizlik yangilanishlari foydalanuvchilarni hujumlardan himoya qilish va tizim barqarorligini ta‘minlash uchun juda muhimdir. Xavfsizlik zaifliklarini minimallashtirish va tizimni himoya qilish uchun yangilanishlarni imkon qadar tezroq o‘rnating.

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

GitLab xavfsizlik yangilanishi e‘lon qildi

CI/CD O‘zgaruvchilarini CI Lint Orqali O‘g‘irlash (CVE-2024-11931)

CI/CD O‘zgaruvchilarini CI Lint Orqali O‘g‘irlash (CVE-2024-11931)

Hellcat Ransomware: Raas modeli asosida tashkilotlarga hujumlar ko’paymoqda

Xakerlar Zyxel’da aniqlangan yangi zaiflikdan foydalanib, ixtiyoriy buyruqlarni masofadan bajarishmoqda

VMware Avi Load Balancer’da topilgan zaiflik orqali xakerlar maʼlumotlar bazasiga kirish imkoniyatiga ega boʻlishi mumkin