Đầu tiên là lỗ hổng CVE-2023-7028. Lỗ hổng này đã được đánh giá ở mức độ rủi ro nghiêm trọng với điểm CVSS đạt tối đa là 10/10, có thể tạo điều kiện cho kẻ tấn công chiếm đoạt tài khoản bằng cách gửi email đặt lại (reset) mật khẩu đến một địa chỉ email chưa được xác minh.
Lỗ hổng này bắt nguồn từ một lỗi trong quá trình xác minh email cho phép người dùng đặt lại mật khẩu của họ thông qua địa chỉ email phụ. Nó ảnh hưởng đến tất cả các phiên bản tự quản lý của GitLab Community Edition (CE) và Enterprise Edition (EE) đang sử dụng các phiên bản: 16.1 trước 16.1.6; 16.2 trước 16.2.9; 16.3 trước 16.3.7; 16.4 trước 16.4.5; 16.5 trước 16.5.6; 16.6 trước 16.6.4; 16.7 trước 16.7.2.
GitLab cho biết họ đã giải quyết vấn đề này trong các phiên bản GitLab 16.5.6, 16.6.4 và 16.7.2, cũng như triển khai bản vá cho các phiên bản 16.1.6, 16.2.9, 16.3.7 và 16.4.5. Công ty này lưu ý thêm rằng lỗ hổng này xuất hiện trong phiên bản 16.1.0 vào ngày 1/5/2023.
GitLab cho biết: “Trong các phiên bản này, tất cả các cơ chế xác thực đều bị ảnh hưởng. Ngoài ra, người dùng đã bật xác thực hai yếu tố dễ bị đặt lại mật khẩu nhưng không thể chiếm đoạt tài khoản vì yếu tố xác thực thứ hai là bắt buộc để đăng nhập".
GitLab cũng tiến hành cập nhật bản vá cho một lỗ hổng nghiêm trọng khác là CVE-2023-5356, điểm CVSS 9.6/10. Lỗ hổng này cho phép người dùng lạm dụng tích hợp Slack/Mattermost để thực thi các slash command với tư cách một người dùng khác.
Theo khuyến cáo của Gitlab, để giảm thiểu mọi mối đe dọa tiềm ẩn, người dùng cần khẩn trương nâng cấp lên phiên bản mới nhất và bật xác thực hai yếu tố, đặc biệt đối với người dùng đặc quyền (elevated privileges).
Bá Phúc
(thehackernews.com)
15:00 | 19/01/2024
09:00 | 05/06/2023
08:00 | 06/02/2024
17:00 | 17/11/2021
13:00 | 26/02/2024
15:00 | 29/08/2022
15:00 | 11/04/2024
Vừa qua, phiên bản mới nhất của FortiOS được công bố. Đây là hệ điều hành duy nhất hội tụ liền mạch mạng và bảo mật, cùng với các bản cập nhật Fortinet Security Fabric mang đến những tính năng AI tạo sinh thế hệ mới, khả năng bảo vệ dữ liệu, quản lý dịch vụ và tác nhân hợp nhất.
13:00 | 05/04/2024
Các nhà phát triển ví tiền điện tử Leather cảnh báo về một ứng dụng giả mạo trên Apple App Store. Nguyên nhân bởi nhiều người dùng đã báo cáo rằng họ bị mất tiền sau khi nhập chuỗi bí mật vào ví Leather giả.
15:00 | 01/03/2024
Microsoft đã phát triển Python Risk Identification Tool (PyRIT) như một công cụ hỗ trợ quan trọng cho các đội ngũ Red Teaming trong việc đánh giá và phát hiện rủi ro trong hệ thống AI tạo sinh.
07:00 | 27/12/2023
Được kỳ vọng mang đến một cấp độ mới về nâng cao khả năng kết nối và các ứng dụng khác, 5G Advanced áp dụng trí tuệ nhân tạo (AI) và máy học (ML) sẽ hỗ trợ các ứng dụng tiên tiến với tính di động và độ tin cậy cao cũng như cải thiện hiệu suất mạng. 5G Advanced cũng sẽ mang đến những cải tiến về hiệu suất quang phổ và tiết kiệm năng lượng hơn. Những cải tiến đáng kể dự kiến 5G Advanced mang lại đó là hiệu suất 5G, hỗ trợ cho các phân khúc thị trường mới, mạng bền vững và tự động hóa mạng thông minh. Bài báo sau đây sẽ giới thiệu một số nét về 5G Advanced.
Công ty được mệnh danh là “Google của Trung Quốc” - Baidu cho biết chatbot AI của hãng này, Ernie Bot đã có hơn 200 triệu người dùng trong bối cảnh cạnh tranh ngày càng khốc liệt.
19:00 | 30/04/2024