Cập nhật GitLab ngay để vá lỗ hổng có điểm nghiêm trọng tuyệt đối
03:08:00 | 25-05-2023

Nhà cung cấp phần mềm quản lý phiên bản mã nguồn GitLab vừa phát hành bản cập nhật khẩn cấp (16.0.1) cho hai phiên bản Cộng đồng (CE) và Doanh nghiệp (EE), giải quyết lỗ hổng có điểm mức độ nghiêm trọng CVSS tuyệt đối (10). Lỗi ảnh hưởng phiên bản 16.0.0, có thể gây ra những rủi ro về an ninh dữ liệu. Người dùng cần cập nhật GitLab càng sớm càng tốt.

Lỗ hổng, có mã định danh CVE-2023-2825, là lỗi truyền tải đường dẫn (path traversal), cho phép kẻ xấu truy cập, đọc thậm chí đánh cắp các tệp tùy ý, thậm chí cả mã nguồn độc quyền, chi tiết cấu hình quan trọng… trên máy chủ. Đặc biệt, việc khai thác lỗ hổng không yêu cầu bất kỳ xác thực nào, làm tăng khả năng tấn công.

Do tính chất và mức độ nghiêm trọng của lỗ hổng, Bkav khuyến cáo các đơn vị, người dùng đang sử dụng GitLab cần lập tức thực hiện những việc sau:

- Cập nhật GitLab lên phiên bản mới nhất, 16.0.1

- Rà soát các tài khoản có quyền đăng nhập; nếu có tài khoản không còn sử dụng, cần xóa bỏ

- Rà soát mật khẩu tài khoản xác thực GitLab, đảm bảo các tài khoản đều sử dụng mật khẩu mạnh hoặc thực hiện xác thực đa yếu tố

Bkav