GitLab’dagi yangi zaifliklar: Autentifikatsiyani chetlab o‘tish va DoS hujumlariga olib keluvchi xavflar yuzaga chiqdi
Bugungi kunda jahon miqyosida millionlab dasturchilar faoliyat yuritadigan GitLab platformasi axborot xavfsizligi bo‘yicha navbatdagi jiddiy yangilanishlarini e’lon qildi. GitLab Community Edition (CE) va Enterprise Edition (EE) uchun chiqarilgan muhim xavfsizlik yamoqlari bir nechta yuqori darajadagi zaifliklarni bartaraf etadi. Bu zaifliklar vaqtida tuzatilmasa, tajovuzkorlar autentifikatsiya mexanizmlarini chetlab o‘tishi, foydalanuvchi ma’lumotlarini qo‘lga kiritishi yoki serverni to‘xtab qolishga majbur qilishi mumkin.
Yangi xavfsizlik yamoqlari 18.6.1, 18.5.3 va 18.4.5 versiyalarda joriy etilgan bo‘lib, GitLab o‘z serverini mustaqil boshqarib ishlatuvchi barcha tashkilotlarga iloji boricha tezda yangilanishni tavsiya qilmoqda. GitLab.com xizmati esa allaqachon yangilanib, foydalanuvchilarni ushbu tahdidlardan himoyalagan.
Eng xavfli zaiflik: CVE-2024-9183 – Credential o‘g‘irlashga olib keluvchi “race condition”
Ushbu yangilanishdagi eng jiddiy zaiflik — CVE-2024-9183 bo‘lib, CI/CD cache mexanizmida aniqlangan “race condition” bilan bog‘liq. Bu xatolik autentifikatsiya qilingan, biroq past huquqlarga ega foydalanuvchiga yuqori darajadagi foydalanuvchilarning maxfiy ma’lumotlarini egallash imkonini beradi.
Natija?
Bitta muvaffaqiyatli ekspluatatsiya orqali:
- administrator huquqlarini egallash,
- tizimdagi muhim konfiguratsiyalarni o‘zgartirish,
- kod omborlarini boshqarish,
- ruxsatsiz buyruqlarni bajarish
mumkin bo‘ladi. Bu esa GitLab infratuzilmasining to‘liq egallanishiga olib kelishi hech gap emas.
Autentifikatsiyasiz bajariladigan DoS hujumi — CVE-2025-12571
Yana bir xavfli muammo — CVE-2025-12571. Mazkur zaiflik orqali tajovuzkor hech qanday hisobga ega bo‘lmasdan, faqatgina zararli JSON so‘rovi yuborish orqali GitLab serverini to‘liq ishdan chiqarishi mumkin.
Bunday DoS hujumi quyidagilarga olib keladi:
- kod omborlari vaqtincha yoki butunlay ishlamay qolishi,
- CI/CD jarayonlari to‘xtashi,
- jamoaviy ishlab chiqish jarayonida uzilishlar yuzaga kelishi.
Katta tashkilotlar uchun bunday holat bir necha soatlik ishlab chiqish jarayonining izdan chiqishi va jiddiy moddiy zararlar bilan tengdir.
Autentifikatsiyani chetlab o‘tish — CVE-2025-12653
GitLab shuningdek autentifikatsiya mexanizmlarini chetlab o‘tish bilan bog‘liq o‘rta darajadagi zaiflikni — CVE-2025-12653 muammosini ham bartaraf etdi. Bu xatolik orqali foydalanuvchi turli sarlavhalarni o‘zgartirish yo‘li bilan istalgan tashkilotga ruxsatsiz qo‘shilib olish imkoniga ega bo‘lardi.
Tashkilotlar uchun bu quyidagi xavflarni tug‘dirishi mumkin edi:
- yopiq loyihalarga kirish,
- ichki ma’lumotlarga ruxsatsiz ko‘rinish,
- xodimlar o‘rtasidagi maxfiy muloqotlar oshkor bo‘lishi.
Yamoq ichiga kiritilgan boshqa zaifliklar
| CVE ID | Daraja | Turi | Tavsif |
|---|---|---|---|
| CVE-2024-9183 | High | Privilege Escalation | CI/CD cache’dagi time-sinxron muammo orqali yuqori huquqli credentiallarni qo‘lga kiritish |
| CVE-2025-12571 | High | Denial of Service | Zararli JSON orqali serverni ishdan chiqarish |
| CVE-2025-12653 | Medium | Auth Bypass | Header manipulyatsiyasi orqali tashkilotlarga ruxsatsiz kirish |
| CVE-2025-7449 | Medium | DoS | HTTP javoblarini qayta ishlashdagi xatolik |
| CVE-2025-6195 | Medium (EE Only) | Improper Authorization | Ayrim holatlarda chegaralangan xavfsizlik hisobotlarini ko‘rish |
| CVE-2025-13611 | Low | Info Disclosure | Terraform loglari orqali sezgir tokenlar tarqalishi |
Yangilanish farzi: nima uchun darhol o‘rnatish shart?
GitLab yangilanishlarni chiqarganidan so‘ng, tajovuzkorlar ushbu yamoqlarni tahlil qilib, ekspluatlar yozishni boshlashi tabiiy jarayon. Ya’ni, yangilanmagan GitLab serverlari hozir aynan hujumchilarning asosiy nishoni bo‘lib qolmoqda.
Tavsiyalar:
- CE/EE foydalanuvchilari darhol 18.6.1, 18.5.3 yoki 18.4.5 versiyalariga o‘tishi zarur.
- Yagona serverlarda (single-node) ma’lum vaqtga to‘xtab turish bo‘lishi mumkin.
- Klasterning bir nechta uzellaridan iborat tizimlarda (multi-node) zero-downtime yangilanish amalga oshiriladi.
- Yangilanishdan so‘ng CI/CD konfiguratsiyalarini qayta tekshirish tavsiya etiladi.
GitLab’dagi ushbu zaifliklar — oddiy texnik xatolik emas, balki jiddiy kiber xavf tug‘diruvchi real tahdidlardir. Race condition orqali credentiallarning o‘g‘irlanishi, autentifikatsiyasiz DoS hujumi va autentifikatsiyani chetlab o‘tish kabi muammolar nafaqat kod omborlariga, balki butun ishlab chiqish jarayoniga zarar yetkazishi mumkin.
Shu sababli, GitLab’dan foydalanayotgan har qanday tashkilot imkon qadar tezroq yangilanishni o‘rnatishi — infratuzilma xavfsizligi uchun eng muhim qadam hisoblanadi.
