GitLab phát hành bản vá lỗ hổng nguy cấp trong phần mềm cộng đồng và doanh nghiệp

Tuần này, nền tảng DevOps GitLab đã phát hành các bản vá để xử lý lỗ hổng bảo mật nguy cấp trong phần mềm của mình. Lỗ hổng này có thể dẫn đến việc thực thi mã tùy ý trên các hệ thống bị ảnh hưởng.

 Lỗ hổng có số hiệu là CVE-2022-2884, có số điểm CVSS là 9,9 và ảnh hưởng đến tất cả các phiên bản của GitLab Community Edition (CE) và Enterprise Edition (EE) phiên bản từ 11.3.4 đến 15.1.5; 15.2 đến 15.2. 3 và 15.3 đến 15.3.1.

20230526-pg3.png

Lỗ hổng là trường hợp thực thi mã từ xa được xác thực, có thể bị kích hoạt thông qua GitHub (thống quản lý dự án và phiên bản code) hỗ trợ API. GitLab đã ghi nhận việc phát hiện và báo cáo lỗ hổng.

Trong khi vấn đề đã được xử lý trong các phiên bản 15.3.1, 15.2.3, 15.1.5 thì người dùng cũng có tùy chọn bảo vệ chống lại lỗ hổng bằng cách tạm thời vô hiệu hóa tùy chọn nhập GitHub như sau:

Nhấp vào "Menu" -> " Admin" (Quản trị)

Nhấp vào chọn "Settings" -> "General"

Mở rộng tab " Visibility and access controls" (Khả năng hiển thị và kiểm soát truy cập).

Trong "Import sources", hãy tắt tùy chọn "GitHub"

Nhấp vào "Save changes" (Lưu thay đổi).

Không có bằng chứng cho thấy lỗ hổng bị khai thác một cách tự nhiên. Nhưng người dùng đang sử dụng phiên bản bị ảnh hưởng được khuyến nghị cập nhật lên phiên bản mới nhất càng sớm càng tốt./.