GitLab vừa giải quyết một lỗ hổng nghiêm trọng có thể cho phép kẻ tấn công từ xa chiếm đoạt tài khoản người dùng sử dụng mật khẩu hardcoded.
Lỗ hổng (CVE-2022-1162) ảnh hưởng đến GitLab Community Edition (CE) và Enterprise Edition (EE) phiên bản trước 14.7.7, 14.8.5 và 14.9.2, tồn tại do mật khẩu tĩnh vô tình được đặt trong quá trình đăng ký thông qua OmniAuth trong GitLab CE/EE.
GitLab kêu gọi người dùng ngay lập tức nâng cấp tất cả các bản cài đặt GitLab lên phiên bản mới nhất (14.9.2, 14.8.5 hoặc 14.7.7) để ngăn chặn các cuộc tấn công tiềm ẩn.
GitLab cũng đã xóa tệp 'lib/gitlab/password.rb' được sử dụng để gán mật khẩu hardcoded yếu cho hằng số 'TEST_DEFAULT'.
Đặt lại mật khẩu cho một số người dùng GitLab
GitLab cũng cho biết đã đặt lại mật khẩu của một số lượng hạn chế người dùng GitLab.com như một phần của nỗ lực giảm thiểu ảnh hưởng của CVE-2022-1162.
Theo GitLab, chưa có bằng chứng cho thấy bất kỳ tài khoản nào đã bị xâm phạm bởi lỗ hổng này.Tập lệnh xác định tài khoản người dùng bị ảnh hưởng
Dù cho biết chưa có tài khoản người dùng nào bị xâm phạm, Gitlab vẫn tạo một tập lệnh mà quản trị viên phiên bản tự quản lý có thể sử dụng để xác định các tài khoản người dùng có khả năng bị ảnh hưởng bởi CVE-2022-1162.
Sau khi xác định các tài khoản có khả năng bị ảnh hưởng, quản trị viên nên đặt lại mật khẩu của người dùng.
Theo Gitlab, hơn 100.000 tổ chức sử dụng nền tảng DevOps của mình và khoảng hơn 30 triệu người dùng đã đăng ký từ 66 quốc gia trên toàn thế giới.
Nguồn: Whitehat
Đăng nhận xét