GitLab’dagi yuqori darajadagi zaifliklar — xizmatlar ishdan chiqishi mumkin

GitLab o‘z boshqariladigan (self-managed) instansiyalarida bir necha xavfli zaifliklarni e’lon qildi. Ulardan ikki nafari (CVE-2025-10858 va CVE-2025-8014) autentifikatsiyasiz DoS (xizmat ko‘rsatishni to‘xtatish) hujumiga olib keladi — ya’ni hujumchi maxsus tuzilgan zararli so‘rov yuborib, GitLab xizmatini toʻxtatib qo‘yishi mumkin.

Kimlar ta’sirlangan?
Self-managed GitLab Community va Enterprise Edition’ning eski versiyalari (yangilanishdan oldingi 18.x qatorlari). Agar siz GitLab’ni o‘zingiz boshqarayotgan bo‘lsangiz — xavf ostidasiz.

Asosiy xavflar — qisqacha

  • CVE-2025-10858 (High, CVSS 7.5): Maxsus JSON fayli yuborish orqali server resurslarini to‘ldirib, Rails web-serverni ishlamay qoldirish mumkin.
  • CVE-2025-8014 (High, CVSS 7.5): Cheksiz yoki juda murakkab GraphQL so‘rovlari yuborib, ishchi jarayonlarni (unicorn worker) crash loop ga tushirish mumkin.
  • Boshqa zaifliklar (medium va low): ma’lumot oshkor bo‘lishi, ro‘l oshirilishi va ba’zi GraphQL/BlobSearch muammolari — ularning ham oqibatlari tizimni sekinlashtirishi yoki hujumni osonlashtirishi mumkin.

Darhol tekshirilishi lozim bo‘lgan belgilar

  • Tizim ko‘rsatkichi keskin pasaysa yoki Rails protsessi javob bermasa.
  • /api/v4/projects/:id/uploads yoki /api/graphql kabi endpointlarga noodatiy yoki katta hajmdagi so‘rovlar kelishi.
  • CI/CD pipeline’larda to‘sqinlik va ishchi jarayonlarning uzluksiz qayta ishga tushishi.
  • Virtual registry konfiguratsiyasi yoki ro‘yxatlarda noma’lum tokenlar paydo bo‘lishi.

Nima qilish kerak — tez va amaliy tavsiyalar

  1. Darhol yangilang. GitLab-ni 18.4.1, 18.3.3 yoki 18.2.7 kabi parchelangan versiyalarga yangilang. Bu eng muhim qadam.
  2. Agar imkoni bo‘lsa, o‘rnatingdan oldin testlab ko‘ring. Multi-node infratuzilmalarda zero-downtime imkoniyatlarini foydalaning (skip-auto-reconfigure flag).
  3. Admin konsollarini himoyalang. GitLab admin interfeysini internetga ochiq qoldirmang — faqat VPN yoki ichki tarmoq orqali ruxsat bering.
  4. GraphQL va upload endpointlarini monitoring qiling. Kutilmagan chuqurlikdagi so‘rovlar va kattaroq JSON yuklamalarga ogohlantirish qo‘ying.
  5. Loglarni tahlil qiling. So‘nggi vaqtdagi xatoliklar, rekurent crash loop’lar va anormal so‘rovlar izlarini qidiring.
  6. Foydalanuvchi huquqlarini tekshiring. Developer va maintainer ro‘llaridagi shubhali huquatlarni ko‘rib chiqing.
  7. PostgreSQL yangilanishini ham tekshiring. (Yangilanish paketlari PostgreSQL 16.10 bilan birga tarqatilgan.)

Bu zaifliklar GitLab xizmatining mavjudligini xavf ostiga qo‘yadi — ayniqsa self-managed instansiyalar uchun. Eng to‘g‘ri chora: tezda patch o‘rnatish, endpointlarni monitoring qilish va admin konsollarni himoyalash. Bu ishlar ishlab chiqish jarayonining uzluksizligini saqlab qolishga yordam beradi.