Vn-Z.vn Ngày 20 tháng 09 năm 2023, GitLab đã phát hành một bản cập nhật bảo mật gần đây để khắc phục một lỗ hổng nghiêm trọng . GitLabkhuyến nghị người dùng nâng cấp ngay lập tức.
Được biết , phiên bản cộng đồng (CE) và phiên bản doanh nghiệp (EE) của GitLab, từ phiên bản 13.12 đến phiên bản trước 16.2.7 và phiên bản 16.3 trước đó, đều bị ảnh hưởng bởi lỗ hổng nghiêm trọng.
Lỗ hổng này được phát hiện bởi chuyên gia nghiên cứu bảo mật , chuyên săn lỗ hổng Johan Carlsson. Ban đầu, đó là một lỗ hổng có mức độ nghiêm trọng trung bình, được theo dõi với mã CVE-2023-3932, và được nhà phát triển chính thức sửa chữa vào tháng 8.
Tuy nhiên, các chuyên gia an ninh mạng đã phát hiện ra một phương pháp mới có thể vượt qua các biện pháp bảo vệ và xác minh rằng lỗ hổng này có thể gây ra tác động bổ sung. Lỗ hổng mới được theo dõi với mã CVE-2023-4998, trong phiên bản CVSS 3.1, nó được đánh giá với 9.6 điểm trên tổng điểm 10 (điểm càng cao tức là nguy hiểm càng cao).
Các kẻ tấn công có thể giả mạo người dùng và thực hiện các tác vụ trong pipeline tasks, đó là một chuỗi các tác vụ tự động, có thể lấy thông tin nhạy cảm hoặc giả mạo quyền của người dùng chạy mã, thay đổi dữ liệu hoặc kích hoạt các sự kiện cụ thể trong hệ thống GitLab mà không cần sự đồng ý hoặc quyền truy cập của người dùng.
GitLab đề nghị người dùng nâng cấp ngay lập tức phiên bản GitLab Community 16.3.4 và Enterprise Edition 16.2.7đã được vá lỗi CVE-2023-4998 để bảo đảm an ninh hệ thống.
Bạn đọc có thể tham khảo thông tin các bản cập nhật Gitlab tại đây
GitLab là một công cụ quản lý dự án và kiểm soát phiên bản mã nguồn mở, được chia thành hai phiên bản: GitLab Community Edition (CE) và GitLab Enterprise Edition (EE).
GitLab Community Edition là phiên bản miễn phí và có thể triển khai trên máy chủ riêng. Nó cung cấp một số tính năng cơ bản về quản lý phiên bản và quản lý dự án, bao gồm quản lý mã nguồn, theo dõi vấn đề, xem xét mã nguồn, tích hợp liên tục và triển khai, v.v.
GitLab Enterprise Edition là phiên bản có phí và yêu cầu triển khai trên máy chủ chính thức của GitLab. Nó cung cấp nhiều tính năng cao cấp hơn so với phiên bản cộng đồng, bao gồm tính năng bảo mật cao cấp, quản lý tiện lợi hơn, kho mã nguồn nội bộ, nhiều tùy chọn và báo cáo quản lý hơn.
Được biết , phiên bản cộng đồng (CE) và phiên bản doanh nghiệp (EE) của GitLab, từ phiên bản 13.12 đến phiên bản trước 16.2.7 và phiên bản 16.3 trước đó, đều bị ảnh hưởng bởi lỗ hổng nghiêm trọng.
Lỗ hổng này được phát hiện bởi chuyên gia nghiên cứu bảo mật , chuyên săn lỗ hổng Johan Carlsson. Ban đầu, đó là một lỗ hổng có mức độ nghiêm trọng trung bình, được theo dõi với mã CVE-2023-3932, và được nhà phát triển chính thức sửa chữa vào tháng 8.
Tuy nhiên, các chuyên gia an ninh mạng đã phát hiện ra một phương pháp mới có thể vượt qua các biện pháp bảo vệ và xác minh rằng lỗ hổng này có thể gây ra tác động bổ sung. Lỗ hổng mới được theo dõi với mã CVE-2023-4998, trong phiên bản CVSS 3.1, nó được đánh giá với 9.6 điểm trên tổng điểm 10 (điểm càng cao tức là nguy hiểm càng cao).
Các kẻ tấn công có thể giả mạo người dùng và thực hiện các tác vụ trong pipeline tasks, đó là một chuỗi các tác vụ tự động, có thể lấy thông tin nhạy cảm hoặc giả mạo quyền của người dùng chạy mã, thay đổi dữ liệu hoặc kích hoạt các sự kiện cụ thể trong hệ thống GitLab mà không cần sự đồng ý hoặc quyền truy cập của người dùng.
GitLab đề nghị người dùng nâng cấp ngay lập tức phiên bản GitLab Community 16.3.4 và Enterprise Edition 16.2.7đã được vá lỗi CVE-2023-4998 để bảo đảm an ninh hệ thống.
Bạn đọc có thể tham khảo thông tin các bản cập nhật Gitlab tại đây
16.3.4
- Use new indexer, fix removing blobs from index
- Backport "Fix Geo secondary proxying Git pulls unnecessarily" to 16.3
16.2.7
GitLab là một công cụ quản lý dự án và kiểm soát phiên bản mã nguồn mở, được chia thành hai phiên bản: GitLab Community Edition (CE) và GitLab Enterprise Edition (EE).
GitLab Community Edition là phiên bản miễn phí và có thể triển khai trên máy chủ riêng. Nó cung cấp một số tính năng cơ bản về quản lý phiên bản và quản lý dự án, bao gồm quản lý mã nguồn, theo dõi vấn đề, xem xét mã nguồn, tích hợp liên tục và triển khai, v.v.
GitLab Enterprise Edition là phiên bản có phí và yêu cầu triển khai trên máy chủ chính thức của GitLab. Nó cung cấp nhiều tính năng cao cấp hơn so với phiên bản cộng đồng, bao gồm tính năng bảo mật cao cấp, quản lý tiện lợi hơn, kho mã nguồn nội bộ, nhiều tùy chọn và báo cáo quản lý hơn.