Berikut adalah penjelasan semua buletin keamanan yang terkait dengan Developer Connect.
Untuk mendapatkan buletin keamanan terbaru, lakukan salah satu hal berikut:
- Tambahkan URL halaman ini terhadap pembaca feed Anda.
- Tambahkan URL feed langsung ke pembaca feed Anda.
GCP-2026-048
Dipublikasikan: 13-07-2026
Deskripsi
| Deskripsi | Keparahan | Catatan |
|---|---|---|
|
Saat Anda membuat atau memperbarui koneksi repositori, Developer Connect menggunakan secret Secret Manager untuk mengautentikasi penyedia Git pihak ketiga. Untuk koneksi GitLab Enterprise (GLE) dan Bitbucket Data Center (BBDC), secret yang dirujuk ini sebelumnya diambil oleh agen layanan Developer Connect (P4SA) atas nama Anda. Artinya, pemeriksaan izin dilakukan terhadap kredensial P4SA, bukan kredensial pokok yang memanggil. Hal ini dapat memungkinkan akun utama dengan izin terbatas untuk membaca rahasia Secret Manager yang dirujuk dengan mengarahkan URI host koneksi repositori ke endpoint yang dikontrol penyerang. Untuk memitigasi kerentanan ini dan mematuhi prinsip keamanan hak istimewa
paling rendah, Developer Connect kini memeriksa izin terhadap kredensial pokok
panggilan (menggunakan kredensial pengguna akhir) dan P4SA saat memanggil
API koneksi repositori untuk koneksi GitLab Enterprise (GLE) dan Bitbucket Data
Center (BBDC). Secara khusus, server kini memverifikasi bahwa pemanggil dan P4SA memiliki izin IAM pada rahasia Secret Manager yang dirujuk. Apa yang sebaiknya saya lakukan? Anda tidak perlu melakukan tindakan apa pun untuk koneksi repositori yang ada. Jika Anda mengalami error izin saat membuat atau memperbarui koneksi repositori GitLab Enterprise (GLE) atau Bitbucket Data Center (BBDC), berikan peran Secret Manager Secret Accessor ( Jenis kerentanan apa yang dapat diatasi oleh patch ini? Kerentanan ini memungkinkan pengguna dengan akses administrator koneksi repositori
membaca secret Secret Manager yang dirujuk karena pemeriksaan izin
hanya dilakukan terhadap kredensial P4SA. Dengan
mewajibkan pemeriksaan izin terhadap prinsipal yang memanggil (menggunakan kredensial
pengguna akhir) dan P4SA untuk koneksi GitLab Enterprise (GLE) dan Bitbucket Data Center
(BBDC), hanya pengguna yang diberi otorisasi dengan izin IAM |
Sedang |