Lỗ hổng bảo mật nghiêm trọng được GitLab khuyến cáo cần cập nhật bản vá ngay

www.tuoitre.vn -   22/08/2022 12:00:00 551

GitLab đang kêu gọi người dùng cài đặt một cập nhật bảo mật cho các nhánh 15.1. 15.2 và 15.3 trong các phiên bản cộng đồng và doanh nghiệp của nó để sửa một lỗ hổng nghiêm trọng có thể cho phép kẻ tấn công thực hiện lệnh từ xa thông qua việc nhập từ GitHub.

Lỗ hổng bảo mật nghiêm trọng được GitLab khuyến cáo cần cập nhật bản vá ngay

GitLab là kho lưu trữ Git trên nền web dành cho các nhóm nhà phát triển cần quản lý code của họ từ xa. Nó có khoảng 30 triệu người dùng đã đăng ký và 1 triệu khách hàng là thuê bao có trả phí.

Lỗ hổng được giải quyết bởi bản cập nhật này được theo dõi dưới mã CVE-2022-2884 và được đánh giá là nghiêm trọng với điểm số 9,9 theo thang CVSS v3. Nó ảnh hưởng tới tất cả các phiên bản bắt đầu từ 11.3.4 tới 15.1.4, những phiên bản giữa 15.2 và 15.2.3 và 15.3.

Ngoài ra, GitLab còn nhấn mạnh rằng các kiểu triển khai (omnibus, source code, helm chart,...) không tạo ra sự khác biệt vì chúng đều bị ảnh hưởng.

Thực thi lệnh từ xa (RCE) là một loại lỗ hổng nghiêm trọng, cho phép hacker thực thi các loại mã độc trên máy mục tiêu, đưa phần mềm độc hại và backdoor vào hoặc kiểm soát hoàn toàn máy của mục tiêu từ xa.

Sử dụng lỗ hổng này, hacker có thể chiếm quyền kiểm soát máy chủ, đánh cắp hoặc xoác mã nguồn, thực hiện các hành vi độc hại khác...

Các phiên bản GitLab mới nhất đã khắc phục sự cố là 15.3.1, 15.2.3 và 15.1.5, người dùng nên nâng cấp ngay lập tức.

"Chúng tôi đặc biệt khuyên rằng tất cả các cài đặt đang chạy phiên bản bị ảnh hưởng bởi các vấn đề được mô tả bên dưới cần phải được nâng cấp lên phiên bản mới nhất càng sớm càng tốt", GitLab chia sẻ.

Lỗ hổng bảo mật nghiêm trọng được GitLab khuyến cáo cần cập nhật bản vá ngay

Giải pháp thay thế

Nếu vì một lý do nào đó mà bạn không thể cài đặt ngay bản cập nhật vá lỗi, GitLab khuyên bạn nên thực hiện giải pháp thay thế là tắt tính năng nhập GitHub, một công cụ cho phép nhập toàn bộ dự án phần mềm từ GitHub sang GitLab.

Các bước thực hiện như sau:

Đăng nhập GitLab bằng tài khoản quản trị viên

Nhấp Menu > Admin

Nhấp Settings > General

Mở rộng tab Visibility and access controls

Trong phần Import sources hãy vô hiệu hóa tùy chọn GitHub

Nhấp vào Save changes

Để xác minh rằng giải pháp thay thế này đã được triển khai chính xác hay chưa bạn có thể thử theo các bước sau:

Trong cửa sổ trình duyệt, đăng nhập dưới tư cách người dùng bất kỳ

Nhấp vào dấu + trên thanh trên cùng

Nhấp vào New project/repository

Nhấp Import project

Xác minh rằng GitHub không còn xuất hiện dưới dạng tùy chọn nhập

Để biết cách cập nhật GitLab, bạn hãy xem hướng dẫn trên trang chủ của dự án.

Thông thường, các lỗ hổng nghiêm trọng sẽ chuyển sang giai đoạn khai thác tích cực vài ngày sau khi chúng được tiết lộ. Do đó, bạn nên cập nhật ngay hoặc áp dụng ngay biện pháp thay thế.

Theo The HackerNews

 

 

TIN CÙNG CHUYÊN MỤC

Lỗ hổng bảo mật mức độ nghiêm trọng cao ...

23/02/2024 08:00:00 26
Thông tin chi tiết đã xuất hiện về một lỗ hổng bảo mật mức độ nghiêm trọng cao hiện đã được vá trong...

Apple công bố giao thức PQ3 - Mã hóa hậu...

22/02/2024 08:00:00 27
Apple đã công bố một giao thức mã hóa hậu lượng tử mới có tên PQ3 mà họ cho biết sẽ được tích hợp và...

Lỗ hổng Wi-Fi mới làm cho thiết bị Andro...

21/02/2024 08:00:00 41
Các nhà nghiên cứu an ninh mạng đã xác định được hai lỗ hổng cho phép bỏ qua xác thực trong phần mềm...

Lỗ hổng nghiêm trọng trên WordPress đang...

20/02/2024 08:00:00 27
Một lỗ hổng bảo mật nghiêm trọng trong chủ đề Bricks dành cho WordPress đang bị các tác nhân đe dọa ...

Meta lên tiếng cảnh báo về 8 công ty phầ...

19/02/2024 08:00:00 30
Meta cho biết họ đã thực hiện một loạt bước để hạn chế hoạt động độc hại từ 8 công ty khác nhau có t...

Trojan trên Android mới – Anatsa đã vượt...

16/02/2024 08:00:00 25
Một trojan ngân hàng Android mới có tên Anatsa đã mở rộng trọng tâm tấn công sang Slovakia, Slovenia...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ