Lỗ hổng bảo mật nghiêm trọng được GitLab khuyến cáo cần cập nhật bản vá ngay

www.tuoitre.vn -   22/08/2022 12:00:00 191

GitLab đang kêu gọi người dùng cài đặt một cập nhật bảo mật cho các nhánh 15.1. 15.2 và 15.3 trong các phiên bản cộng đồng và doanh nghiệp của nó để sửa một lỗ hổng nghiêm trọng có thể cho phép kẻ tấn công thực hiện lệnh từ xa thông qua việc nhập từ GitHub.

Lỗ hổng bảo mật nghiêm trọng được GitLab khuyến cáo cần cập nhật bản vá ngay

GitLab là kho lưu trữ Git trên nền web dành cho các nhóm nhà phát triển cần quản lý code của họ từ xa. Nó có khoảng 30 triệu người dùng đã đăng ký và 1 triệu khách hàng là thuê bao có trả phí.

Lỗ hổng được giải quyết bởi bản cập nhật này được theo dõi dưới mã CVE-2022-2884 và được đánh giá là nghiêm trọng với điểm số 9,9 theo thang CVSS v3. Nó ảnh hưởng tới tất cả các phiên bản bắt đầu từ 11.3.4 tới 15.1.4, những phiên bản giữa 15.2 và 15.2.3 và 15.3.

Ngoài ra, GitLab còn nhấn mạnh rằng các kiểu triển khai (omnibus, source code, helm chart,...) không tạo ra sự khác biệt vì chúng đều bị ảnh hưởng.

Thực thi lệnh từ xa (RCE) là một loại lỗ hổng nghiêm trọng, cho phép hacker thực thi các loại mã độc trên máy mục tiêu, đưa phần mềm độc hại và backdoor vào hoặc kiểm soát hoàn toàn máy của mục tiêu từ xa.

Sử dụng lỗ hổng này, hacker có thể chiếm quyền kiểm soát máy chủ, đánh cắp hoặc xoác mã nguồn, thực hiện các hành vi độc hại khác...

Các phiên bản GitLab mới nhất đã khắc phục sự cố là 15.3.1, 15.2.3 và 15.1.5, người dùng nên nâng cấp ngay lập tức.

"Chúng tôi đặc biệt khuyên rằng tất cả các cài đặt đang chạy phiên bản bị ảnh hưởng bởi các vấn đề được mô tả bên dưới cần phải được nâng cấp lên phiên bản mới nhất càng sớm càng tốt", GitLab chia sẻ.

Lỗ hổng bảo mật nghiêm trọng được GitLab khuyến cáo cần cập nhật bản vá ngay

Giải pháp thay thế

Nếu vì một lý do nào đó mà bạn không thể cài đặt ngay bản cập nhật vá lỗi, GitLab khuyên bạn nên thực hiện giải pháp thay thế là tắt tính năng nhập GitHub, một công cụ cho phép nhập toàn bộ dự án phần mềm từ GitHub sang GitLab.

Các bước thực hiện như sau:

Đăng nhập GitLab bằng tài khoản quản trị viên

Nhấp Menu > Admin

Nhấp Settings > General

Mở rộng tab Visibility and access controls

Trong phần Import sources hãy vô hiệu hóa tùy chọn GitHub

Nhấp vào Save changes

Để xác minh rằng giải pháp thay thế này đã được triển khai chính xác hay chưa bạn có thể thử theo các bước sau:

Trong cửa sổ trình duyệt, đăng nhập dưới tư cách người dùng bất kỳ

Nhấp vào dấu + trên thanh trên cùng

Nhấp vào New project/repository

Nhấp Import project

Xác minh rằng GitHub không còn xuất hiện dưới dạng tùy chọn nhập

Để biết cách cập nhật GitLab, bạn hãy xem hướng dẫn trên trang chủ của dự án.

Thông thường, các lỗ hổng nghiêm trọng sẽ chuyển sang giai đoạn khai thác tích cực vài ngày sau khi chúng được tiết lộ. Do đó, bạn nên cập nhật ngay hoặc áp dụng ngay biện pháp thay thế.

Theo The HackerNews

 

 

TIN CÙNG CHUYÊN MỤC

Phát hiện Dell, HP, Lenovo đang dùng các...

30/11/2022 08:00:00 37
Một phân tích về hình ảnh chương trình cơ sở trên các thiết bị của Dell, HP và Lenovo đã tiết lộ sự ...

Cập nhật ngay trình duyệt Chrome để vá l...

30/11/2022 08:00:00 42
Google hôm thứ Năm đã phát hành bản cập nhật phần mềm để giải quyết một lỗ hổng zero-day khác trong ...

Hàng triệu thiết bị Android vẫn chưa có ...

29/11/2022 08:00:00 47
Một bộ năm lỗ hổng bảo mật mức độ nghiêm trọng trung bình trong trình điều khiển GPU Mali của Arm đã...

Hàng nghìn thiết bị bị lây nhiễm phần mề...

28/11/2022 08:00:00 48
Phần mềm độc hại lừa đảo ngân hàng Android được gọi là SharkBot một lần nữa xuất hiện trên Cửa hàng ...

34 nhóm tội phạm mạng Nga đã đánh cắp hơ...

25/11/2022 08:00:00 35
Có tới 34 băng nhóm nói tiếng Nga đang phân phối phần mềm độc hại đánh cắp thông tin theo mô hình kẻ...

Chuyên gia Kaspersky: Số lượng mã độc đà...

24/11/2022 08:00:00 78
Trong Quý 3/2022, các nhà nghiên cứu tại Kaspersky nhận thấy sự gia tăng mạnh mẽ của mã độc đào tiền...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ