GitLab’da jiddiy zaifliklar: hujumchilar autentifikatsiyasiz tizimni ishdan chiqarishi mumkin

Dunyo bo‘yicha millionlab dasturchilar va tashkilotlar foydalanadigan GitLab platformasida bir nechta xavfli zaifliklar aniqlanib, kompaniya 18.5.1, 18.4.3 va 18.3.5 versiyalarini shoshilinch tarzda e’lon qildi. Ushbu yangilanishlar DoS (Denial of Service) holatini yuzaga keltiruvchi zaifliklarni, shuningdek, avtorizatsiya va kirish nazorati bilan bog‘liq muammolarni bartaraf etadi.

Kompaniya GitLab.com foydalanuvchilari allaqachon himoyalanganini, ammo o‘z serverida (self-managed) GitLab ishlatayotgan tashkilotlar darhol yangilanishni o‘rnatishlari zarurligini qat’iy ta’kidladi.

Zaifliklar mohiyati

Mazkur yangilanishlarda uchta asosiy DoS zaifligi bartaraf etilgan bo‘lib, ularning barchasi masofadan, autentifikatsiyasiz foydalanuvchilar tomonidan ekspluatatsiya qilinishi mumkin.

🧩 1. CVE-2025-10497 — Event Collection’da DoS

Ushbu zaiflikda hujumchi maxsus shakllantirilgan soxta paketlar yuborib, tizim resurslarini to‘ldirib yuboradi. Natijada server resurs tugashi yoki xizmatning to‘liq to‘xtashi holatiga olib keladi.

  • Ta’sir doirasi: 17.10 dan 18.3.5 gacha bo‘lgan versiyalar
  • CVSS: 7.5 (High)
  • Autentifikatsiya: talab qilinmaydi

🧩 2. CVE-2025-11447 — JSON Validatsiyada DoS

Bu zaiflik GraphQL API so‘rovlarini qayta ishlash jarayonidagi JSON tekshiruvidagi xatodan kelib chiqadi. Hujumchi soxta JSON ma’lumotlari orqali tizimni qayta ishlashga majbur qilib, resurslarni band qiladi.

  • Ta’sir doirasi: 11.0 dan 18.5 gacha bo‘lgan versiyalar
  • CVSS: 7.5 (High)

🧩 3. CVE-2025-11974 — Fayl yuklashdagi DoS

Bu holatda hujumchi katta hajmdagi fayllarni API orqali yuboradi. Natijada server xotirasi va tarmoq resurslari haddan ortiq band bo‘lib, xizmat ishlamay qoladi.

  • Ta’sir doirasi: 11.7 dan 18.5 gacha
  • CVSS: 6.5 (Medium)

Bu uchala zaiflik GitLab HackerOne dasturi orqali aniqlangan bo‘lib, kompaniyaning o‘z ichki xavfsizlik tekshiruvlari bilan tasdiqlangan.

Boshqa xavfli zaifliklar

Bundan tashqari, autentifikatsiyadan keyingi ekspluatatsiyani ta’minlovchi yuqori darajadagi xavfli xatoliklar ham tuzatildi:

  • CVE-2025-11702 — Enterprise Edition’dagi runner APIda noto‘g‘ri kirish nazorati tufayli foydalanuvchi boshqa loyihalardagi “runner”larni o‘zlashtirishi mumkin. (CVSS 8.5)
  • CVE-2025-11971pipeline jarayonida ruxsatsiz commit orqali bajariladigan xatolik. (CVSS 6.5)
  • CVE-2025-6601 va CVE-2025-11989 — past darajadagi, ammo EE group membership va quick actions funksiyalarida noto‘g‘ri avtorizatsiya muammolari.

Shuningdek, texnik jihatdan Redis gemdagi versiya muammolari, connection pool xatolari va Geo routing oqishlari ham ushbu yangilanishda tuzatildi.

GitLab xavfsizlik jamoasi barcha foydalanuvchilarga quyidagi choralarni zudlik bilan amalga oshirishni tavsiya qilmoqda:

  1. Tizimni yangilang. 18.5.1, 18.4.3 yoki 18.3.5 versiyalariga o‘ting (Omnibus, source va Helm nasblari uchun).
  2. Monitoringni kuchaytiring. GraphQL, upload API va event collection loglarini kuzatib boring — resurs iste’moli yoki API so‘rovlarida g‘ayrioddiylik aniqlansa, bu DoS hujumi belgisi bo‘lishi mumkin.
  3. Tarmoq darajasida cheklovlar qo‘llang. rate limiting, WAF yoki reverse proxy orqali so‘rov tezligini nazorat qiling.
  4. CI/CD xavfsizligini mustahkamlang. “Runner”lar uchun alohida tokenlar yarating, loyiha darajasida ruxsatlarni cheklang.
  5. Doimiy patching madaniyatini shakllantiring. GitLab har oy yangilanishlar chiqaradi — ularni avtomatik tarzda qo‘llash xavfsizlik gigiyenasining bir qismidir.

GitLab’dagi ushbu zaifliklar autentifikatsiyasiz hujumlar orqali xizmatlarni ishdan chiqarish imkonini beradi. Bugungi kunda GitLab nafaqat ishlab chiquvchilar, balki butun DevOps infratuzilmasining markaziy komponenti sifatida ishlatilayotganini hisobga olsak, bir dona yangilanishni e’tiborsiz qoldirish butun ishlab chiqish zanjirini to‘xtatib qo‘yishi mumkin.

Yaxshiyamki, kompaniya tezkor choralar ko‘rgan va hozircha ekspluatatsiya holatlari qayd etilmagan. Ammo tajribadan ma’lumki, bunday zaifliklar ko‘pincha patch chiqqandan keyin ekspluatatsiya qilinadi.

Shuning uchun — tizimni bugunoq yangilang, WAF’ni faollashtiring va CI/CD jarayonlaringizni himoyalang.

Texnologik xavfsizlikni e’tiborsiz qoldirish — bu raqamli dunyoda xizmatlarni o‘zingizga qarshi qurolga aylantirish demakdir.