GitLab vá lỗ hổng thực thi mã từ xa nghiêm trọng CVE-2022-2884

04/06/2014
37
446 bài viết
GitLab vá lỗ hổng thực thi mã từ xa nghiêm trọng CVE-2022-2884
Nền tảng DevOps GitLab vừa phát hành các bản vá cho lỗ hổng thực thi mã từ xa nghiêm trọng ảnh hưởng đến GitLab Community Edition (CE) và Enterprise Edition (EE).

Lỗ hổng CVE-2022-2884 (CVSS 9,9/10) có thể bị khai thác thông qua API import từ GitHub với điều kiện quá trình xác thực được kích hoạt.

“Một lỗ hổng trong GitLab CE/EE ảnh hưởng đến tất cả các phiên bản từ 11.3.4 đến 15.1.5, từ 15.2 đến 15.2.3, tất cả các phiên bản bắt đầu từ 15.3 đến 15.3.1 cho phép người dùng đã xác thực thực thi mã từ xa thông qua API Import từ trên GitHub”, GitLab cho biết trong khuyến cáo.
Capture.JPG
“Chúng tôi đặc biệt khuyến cáo tất cả các bản cài đặt đang chạy phiên bản bị ảnh hưởng phải được nâng cấp lên phiên bản mới nhất càng sớm càng tốt”, GitLab nhấn mạnh.

Đối với những hệ thống không thể cập nhật ngay lập tức, hãng cũng khuyến cáo nên tắt chức năng nhập GitHub từ tab 'Kiểm soát khả năng hiển thị và truy cập' (Visibility and access controls) trong menu Cài đặt (sử dụng tài khoản quản trị viên).

Phiên bản GitLab Community Edition và Enterprise Edition 15.3.1, 15.2.3 và 15.1.5 đã có các bản vá cho lỗ hổng này.

GitLab không đề cập đến việc lỗ hổng này bị khai thác trong thực tế hay không.

Để giảm thiểu nguy cơ bị tấn công, các chuyên gia WhiteHat khuyến nghị quản trị viên cần cập nhật phiên bản mới nhất càng sớm càng tốt. Ngoài ra, người dùng cũng nên:

Rà soát không để các dịch vụ public ngoài Internet. Nếu bắt buộc public, phải đảm bảo hạn chế truy cập dịch vụ (VPN, Phân quyền IP...)
  • Rà soát các tài khoản có quyền tạo project. Nếu có tài khoản không còn sử dụng, cần xóa tài khoản
  • Rà soát mật khẩu tài khoản xác thực GitLab, đảm bảo các tài khoản đều sử dụng mật khẩu mạnh hoặc thực hiện xác thực đa yếu tố
Trong tháng 7, GitLab cũng đã phải tung ra bản vá để xử lý lỗ hổng có mã định danh là CVE-2022-2185 (CVSS 9,9/10), liên quan đến việc người dùng xác thực có thể import một project độc hại dẫn đến thực thi mã từ xa. Gần tương tự như CVE-2022-2884, để khai thác được lỗ hổng này cũng cần điều kiện xác thực trước và đều phải thông qua tính năng "Import" trên GitLab.


Theo: Security Week
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
cve-2022-2884 gitlab
Bên trên