🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Cổng thông tin điện tử tỉnh Lâm Đồng đã đăng ký tín nhiệm. 🔥                    🔥 UBND phường Chánh Mỹ, Tp Thủ Dầu Một đã đăng ký tín nhiệm. 🔥                    🔥 UBND phường Định Hoà, Tp Thủ Dầu Một đã đăng ký tín nhiệm. 🔥                   

GitLab đang cảnh báo người dùng về lỗ hổng pipeline nghiêm trọng, vá ngay!

20/09/2023

GitLab đã phát hành các bản cập nhật bảo mật để giải quyết một lỗ hổng nghiêm trọng cho phép kẻ tấn công chạy các pipeline như những người dùng khác thông qua các chính sách quét bảo mật đã được lập lịch.

GitLab là một nền tảng theo dõi công việc và quản lý dự án phần mềm nguồn mở dựa trên web phổ biến, cung cấp phiên bản thương mại và miễn phí.

Lỗ hổng, được phát hiện bởi nhà nghiên cứu bảo mật Johan Carlsson, có định danh CVE-2023-4998 (điểm CVSS v3.1: 9,6) và ảnh hưởng đến GitLab Community Edition (CE) và Enterprise Edition (EE) phiên bản 13.12 đến 16.2.7 và các phiên bản 16.3 đến 16.3.4.

GitLab cho biết đây là một sự cố vượt qua (bypasss) bản vá cho CVE-2023-3932, lỗ hổng có độ nghiêm trọng mức trung bình, đã được khắc phục vào tháng 8.

Carlsson đã phát hiện ra cách vượt qua các biện pháp bảo vệ đã triển khai và chứng minh tác động bổ sung giúp nâng độ nghiêm trọng của lỗ hổng lên mức nghiêm trọng.

Việc mạo danh người dùng trong khi họ không biết hoặc cho phép thực hiện các tác vụ (task) pipeline (một loạt tác vụ tự động) có thể cho phép kẻ tấn công truy cập thông tin nhạy cảm hoặc lạm dụng quyền của người dùng bị mạo danh để thực thi mã, sửa đổi dữ liệu hoặc kích hoạt các sự kiện (event) cụ thể trong hệ thống GitLab. Điều này có thể dẫn đến xâm phạm quyền sở hữu trí tuệ, gây rò rỉ dữ liệu, tấn công chuỗi cung ứng và các tình huống rủi ro khác.

Cảnh báo của GitLab nhấn mạnh mức độ nghiêm trọng của lỗ hổng, kêu gọi người dùng nhanh chóng áp dụng các bản cập nhật bảo mật có sẵn.

"Chúng tôi đặc biệt khuyến nghị tất cả người dùng đang sử dụng phiên bản bị ảnh hưởng nên nâng cấp lên phiên bản mới nhất càng sớm càng tốt." - GitLab.

CVE-2023-4998 đã được giải quyết trong các phiên bản GitLab Community Edition và Enterprise Edition 16.3.4 và 16.2.7.

Đối với người dùng phiên bản trước 16.2 chưa nhận được bản vá cho lỗ hổng, biện pháp giảm thiểu được đề xuất là TRÁNH bật đồng thời "Direct transfers" và "Security policies".

Người dùng có thể cập nhật GitLab từ đây hoặc tải các packages GitLab Runner từ trang web chính thức này.

Nguồn: bleepingcomputer.com.

scrolltop