Gitlab vá lỗ hổng nghiêm trọng cho phép chiếm đoạt tài khoản người dùng

16/06/2015
83
672 bài viết
Gitlab vá lỗ hổng nghiêm trọng cho phép chiếm đoạt tài khoản người dùng
GitLab vừa giải quyết một lỗ hổng nghiêm trọng có thể cho phép kẻ tấn công từ xa chiếm đoạt tài khoản người dùng sử dụng mật khẩu hardcoded.

Lỗ hổng (CVE-2022-1162) ảnh hưởng đến GitLab Community Edition (CE) và Enterprise Edition (EE) phiên bản trước 14.7.7, 14.8.5 và 14.9.2, tồn tại do mật khẩu tĩnh vô tình được đặt trong quá trình đăng ký thông qua OmniAuth trong GitLab CE/EE.

GitLab.jpg

GitLab kêu gọi người dùng ngay lập tức nâng cấp tất cả các bản cài đặt GitLab lên phiên bản mới nhất (14.9.2, 14.8.5 hoặc 14.7.7) để ngăn chặn các cuộc tấn công tiềm ẩn.

GitLab cũng đã xóa tệp 'lib/gitlab/password.rb' được sử dụng để gán mật khẩu hardcoded yếu cho hằng số 'TEST_DEFAULT'.

Đặt lại mật khẩu cho một số người dùng GitLab

GitLab cũng cho biết đã đặt lại mật khẩu của một số lượng hạn chế người dùng GitLab.com như một phần của nỗ lực giảm thiểu ảnh hưởng của CVE-2022-1162.

Theo GitLab, chưa có bằng chứng cho thấy bất kỳ tài khoản nào đã bị xâm phạm bởi lỗ hổng này.

Tập lệnh xác định tài khoản người dùng bị ảnh hưởng

Dù cho biết chưa có tài khoản người dùng nào bị xâm phạm, Gitlab vẫn tạo một tập lệnh mà quản trị viên phiên bản tự quản lý có thể sử dụng để xác định các tài khoản người dùng có khả năng bị ảnh hưởng bởi CVE-2022-1162.

Sau khi xác định các tài khoản có khả năng bị ảnh hưởng, quản trị viên nên đặt lại mật khẩu của người dùng.

Theo Gitlab, hơn 100.000 tổ chức sử dụng nền tảng DevOps của mình và khoảng hơn 30 triệu người dùng đã đăng ký từ 66 quốc gia trên toàn thế giới.

Theo Bleeping Computer
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
gitlab
Bên trên