🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Đắk Ring, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Pờ Ê, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Măng Bút, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

GitLab đặc biệt khuyến nghị người dùng vá lỗ hổng nghiêm trọng càng sớm càng tốt

25/05/2023

GitLab đã phát hành bản cập nhật bảo mật khẩn cấp, phiên bản 16.0.1, để giải quyết một lỗi path traversal có định danh CVE-2023-2825, lỗ hổng đặc biệt nghiêm trọng có điểm CVSS v3.1: 10 trên thang 10.

GitLab là kho lưu trữ Git dựa trên web dành cho các nhóm nhà phát triển cần quản lý mã nguồn từ xa và có khoảng 30 triệu người dùng đã đăng ký và một triệu khách hàng sử dụng phiên bản trả phí.

Lỗ hổng được giải quyết trong bản cập nhật mới nhất được phát hiện và báo cáo bởi nhà nghiên cứu bảo mật 'pwnie'. Nó ảnh hưởng đến GitLab Community Edition (CE) và Enterprise Edition (EE) phiên bản 16.0.0, tất cả các phiên bản cũ hơn đều không bị ảnh hưởng.

Lỗ hổng phát sinh từ một sự cố path traversal, cho phép kẻ tấn công chưa được xác thực đọc các tệp tùy ý trên máy chủ khi tệp đính kèm tồn tại trong một dự án công khai (public) được lồng trong ít nhất năm nhóm.

Việc khai thác CVE-2023-2825 có thể làm lộ dữ liệu nhạy cảm, bao gồm mã nguồn phần mềm độc quyền, thông tin xác thực người dùng, token, tệp và thông tin cá nhân khác.

Các chi tiết liên quan khác hiện không được nhà cung cấp tiết lộ do tính nghiêm trọng của lỗ hổng. Thay vào đó, GitLab nhấn mạnh tầm quan trọng của việc áp dụng ngay bản cập nhật bảo mật mới nhất.

Bản tin bảo mật của GitLab cho biết: "Chúng tôi đặc biệt khuyến nghị tất cả người dùng đang sử dụng phiên bản bị ảnh hưởng nên nâng cấp lên phiên bản mới nhất càng sớm càng tốt".

Một yếu tố giảm thiểu là lỗ hổng bảo mật chỉ có thể được kích hoạt trong các điều kiện cụ thể, khi có một tệp đính kèm trong một dự án công khai được lồng trong ít nhất năm nhóm, đây không phải là cấu trúc được áp dụng trong tất cả các dự án GitHub.

Tuy nhiên, tất cả người dùng GitLab 16.0.0 nên cập nhật lên phiên bản 16.0.1 càng sớm càng tốt để giảm thiểu rủi ro. Không có giải pháp thay thế nào có sẵn tại thời điểm hiện tại.

Để cập nhật bản cài đặt GitLab của bạn, hãy làm theo hướng dẫn cập nhật của dự án. Đối với GitLab Runner, xem hướng dẫn tại đây.

Nguồn: bleepingcomputer.com.

 
scrolltop