🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                    🔥 Văn phòng Ủy ban nhân dân tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                   

GitLab phát hành bản vá khẩn cấp cho các lỗ hổng nghiêm trọng - Cập nhật ngay

13/01/2024

GitLab đã phát hành các bản cập nhật bảo mật để giải quyết hai lỗ hổng nghiêm trọng, bao gồm một lỗ hổng có thể bị khai thác để chiếm đoạt tài khoản mà không yêu cầu bất kỳ tương tác nào của người dùng.

Có định danh CVE-2023-7028, lỗ hổng này đã được đánh giá ở mức độ nghiêm trọng tối đa với điểm CVSS là 10.0/10 và có thể tạo điều kiện cho kẻ tấn công chiếm đoạt tài khoản bằng cách gửi email đặt lại (reset) mật khẩu đến một địa chỉ email chưa được xác minh.

Lỗ hổng này bắt nguồn từ một lỗi trong quá trình xác minh email cho phép người dùng đặt lại mật khẩu của họ thông qua địa chỉ email phụ. Nó ảnh hưởng đến tất cả các phiên bản tự quản lý của GitLab Community Edition (CE) và Enterprise Edition (EE) đang sử dụng các phiên bản:

- 16.1 trước 16.1.6

- 16.2 trước 16.2.9

- 16.3 trước 16.3.7

- 16.4 trước 16.4.5

- 16.5 trước 16.5.6

- 16.6 trước 16.6.4

- 16.7 trước 16.7.2

GitLab cho biết họ đã giải quyết vấn đề này trong các phiên bản GitLab 16.5.6, 16.6.4 và 16.7.2, cũng như triển khai bản vá cho các phiên bản 16.1.6, 16.2.9, 16.3.7 và 16.4.5. Công ty lưu ý thêm rằng lỗi này xuất hiện trong phiên bản 16.1.0 vào ngày 1 tháng 5 năm 2023.

GitLab cho biết: “Trong các phiên bản này, tất cả các cơ chế xác thực đều bị ảnh hưởng”. "Ngoài ra, người dùng đã bật xác thực hai yếu tố dễ bị đặt lại mật khẩu nhưng không thể chiếm đoạt tài khoản vì yếu tố xác thực thứ hai là bắt buộc để đăng nhập."

Cũng được vá trong bản cập nhật mới nhất của GitLab là một lỗ hổng nghiêm trọng khác (CVE-2023-5356, điểm CVSS: 9.6), cho phép người dùng lạm dụng tích hợp Slack/Mattermost để thực thi các slash command với tư cách một người dùng khác.

Để giảm thiểu mọi mối đe dọa tiềm ẩn, người dùng nên nâng cấp lên phiên bản vá lỗi càng sớm càng tốt và bật 2FA nếu chưa bật, đặc biệt đối với người dùng có quyền cao (elevated privileges).

Nguồn: thehackernews.com.

scrolltop