-
06/07/2013
-
797
-
1.308 bài viết
Cảnh báo lỗ hổng RCE nghiêm trọng trong Gitlab
Gitlab vừa vá một lỗ hổng nghiêm trọng có thể cho phép kẻ tấn công thực thi mã từ xa.
GitLab là một dự án nguồn mở dùng để quản lý mã nguồn.
Lỗ hổng (CVE-2022-2185, điểm CVSS 9,9) liên quan đến việc người dùng được xác thực có thể nhập (import) một project độc hại dẫn đến thực thi mã từ xa. Lỗ hổng ảnh hưởng đến tất cả các phiên bản của GitLab, bắt đầu từ 14.0 đến trước 14.10.5, 15.0 đến trước 15.0.4 và 15.1 đến trước 15.1.1. Lỗ hổng đã được GitLab vá trong phiên bản mới nhất.
Để giảm thiểu nguy cơ bị tấn công, các chuyên gia WhiteHat khuyến nghị người dùng cập nhật phiên bản mới nhất càng sớm càng tốt. Ngoài ra, người dùng cũng nên:
GitLab là một dự án nguồn mở dùng để quản lý mã nguồn.
Lỗ hổng (CVE-2022-2185, điểm CVSS 9,9) liên quan đến việc người dùng được xác thực có thể nhập (import) một project độc hại dẫn đến thực thi mã từ xa. Lỗ hổng ảnh hưởng đến tất cả các phiên bản của GitLab, bắt đầu từ 14.0 đến trước 14.10.5, 15.0 đến trước 15.0.4 và 15.1 đến trước 15.1.1. Lỗ hổng đã được GitLab vá trong phiên bản mới nhất.
Để giảm thiểu nguy cơ bị tấn công, các chuyên gia WhiteHat khuyến nghị người dùng cập nhật phiên bản mới nhất càng sớm càng tốt. Ngoài ra, người dùng cũng nên:
- Rà soát không để các dịch vụ public ngoài Internet. Nếu bắt buộc public, phải đảm bảo hạn chế truy cập dịch vụ (VPN, Phân quyền IP...)
- Rà soát các tài khoản có quyền tạo project. Nếu có tài khoản không còn sử dụng, cần xóa tài khoản
- Rà soát mật khẩu tài khoản xác thực GitLab, đảm bảo các tài khoản đều sử dụng mật khẩu mạnh hoặc thực hiện xác thực đa yếu tố
Nguồn: PortSwigger
Chỉnh sửa lần cuối bởi người điều hành: