Đầu tiên là lỗ hổng CVE-2023-7028. Lỗ hổng này đã được đánh giá ở mức độ rủi ro nghiêm trọng với điểm CVSS đạt tối đa là 10/10, có thể tạo điều kiện cho kẻ tấn công chiếm đoạt tài khoản bằng cách gửi email đặt lại (reset) mật khẩu đến một địa chỉ email chưa được xác minh.
Lỗ hổng này bắt nguồn từ một lỗi trong quá trình xác minh email cho phép người dùng đặt lại mật khẩu của họ thông qua địa chỉ email phụ. Nó ảnh hưởng đến tất cả các phiên bản tự quản lý của GitLab Community Edition (CE) và Enterprise Edition (EE) đang sử dụng các phiên bản: 16.1 trước 16.1.6; 16.2 trước 16.2.9; 16.3 trước 16.3.7; 16.4 trước 16.4.5; 16.5 trước 16.5.6; 16.6 trước 16.6.4; 16.7 trước 16.7.2.
GitLab cho biết họ đã giải quyết vấn đề này trong các phiên bản GitLab 16.5.6, 16.6.4 và 16.7.2, cũng như triển khai bản vá cho các phiên bản 16.1.6, 16.2.9, 16.3.7 và 16.4.5. Công ty này lưu ý thêm rằng lỗ hổng này xuất hiện trong phiên bản 16.1.0 vào ngày 1/5/2023.
GitLab cho biết: “Trong các phiên bản này, tất cả các cơ chế xác thực đều bị ảnh hưởng. Ngoài ra, người dùng đã bật xác thực hai yếu tố dễ bị đặt lại mật khẩu nhưng không thể chiếm đoạt tài khoản vì yếu tố xác thực thứ hai là bắt buộc để đăng nhập".
GitLab cũng tiến hành cập nhật bản vá cho một lỗ hổng nghiêm trọng khác là CVE-2023-5356, điểm CVSS 9.6/10. Lỗ hổng này cho phép người dùng lạm dụng tích hợp Slack/Mattermost để thực thi các slash command với tư cách một người dùng khác.
Theo khuyến cáo của Gitlab, để giảm thiểu mọi mối đe dọa tiềm ẩn, người dùng cần khẩn trương nâng cấp lên phiên bản mới nhất và bật xác thực hai yếu tố, đặc biệt đối với người dùng đặc quyền (elevated privileges).
Bá Phúc
(thehackernews.com)
09:00 | 05/06/2023
15:00 | 19/01/2024
08:00 | 06/02/2024
17:00 | 17/11/2021
13:00 | 26/02/2024
15:00 | 29/08/2022
13:00 | 12/06/2024
10:00 | 26/11/2024
Tại sự kiện Ignite 2024 vừa qua, Microsoft đã giới thiệu tính năng mới trên Windows có tên gọi là “Quick Machine Recovery”, cho phép các tổ chức có thể sử dụng bản vá “targeted fixes” của Windows Update để khắc phục từ xa các hệ thống máy tính không thể khởi động mà không cần phải truy cập vật lý trực tiếp.
15:00 | 21/11/2024
Một điểm nhấn đáng chú ý tại Hội thảo và Triển lãm Ngày An toàn thông tin Việt Nam 2024 là Lễ khai trương Nền tảng diễn tập an toàn thông tin Việt Nam do Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam, Cục An toàn thông tin (Bộ TT&TT) chủ trì thực hiện.
08:00 | 05/11/2024
Tối ngày 28/10, bộ tính năng đầu tiên của Apple Intelligence vừa được triển khai cùng bản cập nhật iOS 18.1, iPadOS 18.1 và macOS Sequoia 15. Apple Intelligence cung cấp một số tính năng AI tạo sinh về ảnh, văn bản, được áp dụng trước cho ngôn ngữ Anh Mỹ. Tuy nhiên người dùng Việt Nam và nhiều khu vực khác trên thế giới vẫn có thể trải nghiệm khi chuyển điện thoại về ngôn ngữ này.
14:00 | 16/10/2024
Cuộc thi Sinh viên với An toàn thông tin ASEAN 2024 vừa chính thức khởi động với sự tham gia của 248 đội thi đến từ 63 trường đại học thuộc 10 quốc gia ASEAN. Đây là lần thứ hai liên tiếp tất cả các nước ASEAN đều góp mặt, đánh dấu bước phát triển vượt bậc của sân chơi trí tuệ này. Không chỉ góp phần nâng cao nhận thức về an toàn thông tin (ATTT), cuộc thi còn là cơ hội để các sinh viên tài năng trong khắp khu vực thể hiện bản lĩnh và kỹ năng trong lĩnh vực an ninh mạng, hứa hẹn những cuộc tranh
Ngày 9/12, Google ra mắt một con chip máy tính lượng tử mới, được mô tả chỉ mất vài phút để hoàn thành các tác vụ mà một số máy tính nhanh nhất thế giới phải mất 10 triệu tỷ tỷ năm mới có thể hoàn thành. Đây là bước đột phá có thể đưa điện toán lượng tử thực tiễn đến gần hơn với hiện thực.
15:00 | 13/12/2024