Được gán mã định danh CVE-2024-6385 (điểm CVSS 9,6), lỗ hổng cho phép kẻ tấn công thực thi các tác vụ Pipeline với tư cách là người dùng tùy ý, trong một số trường hợp nhất định và ảnh hưởng đến GitLab CE/EE phiên bản 15.8 đến 16.11.5, 17.0.0 đến 17.0.3 và 17.1.0 đến 17.1.1.
Lỗ hổng CVE-2024-6385 được báo cáo thông qua chương trình Bug bounty của GitLab trên HackerOne bởi một người dùng có tên là “yvvdwf”. Hiện tại, công ty cho biết lỗ hổng này đã được giải quyết trong bản phát hành GitLab CE/EE phiên bản 17.1.2, 17.0.4 và 16.11.6.
Theo ông David Lindner, Giám đốc an ninh thông tin tới từ hãng bảo mật Contrast Security (trụ sở chính tại Mỹ) đã cảnh báo rằng, việc khai thác thành công lỗ hổng CVE-2024-6385 có thể cho phép kẻ tấn công thực thi mã độc, truy cập dữ liệu nhạy cảm và xâm phạm tính toàn vẹn của phần mềm.
Bản vá cập nhật xử lý lỗ hổng CVE-2024-6385 được phát hành khoảng 2 tuần sau khi nền tảng DevOps giải quyết một lỗ hổng khác (CVE-2024-5655) cho phép kẻ tấn công chạy các tác vụ Pipeline.
Đáng chú ý, trong bản cập nhật GitLab mới nhất cũng giải quyết một lỗ hổng có mức độ nghiêm trọng (CVE-2024-5257) có thể cho phép các nhà phát triển có quyền admin_compliance_framework sửa đổi URL group cho namespace. Bốn vấn đề còn lại được giải quyết trong bản cập nhật mới là các lỗ hổng có mức độ nghiêm trọng thấp.
Ngoài các bản vá lỗ hổng bảo mật, bản cập nhật còn bao gồm nhiều bản sửa lỗi và cải tiến trên nhiều thành phần GitLab khác nhau, chẳng hạn như Git, MailRoom, CI/CD Pipeline và tích hợp Redis.
Nhà nghiên cứu Ray Kelly của hãng bảo mật Synopsys Software Integrity Group (Canada), cho biết: “Trong thế giới DevSecOps phát triển nhanh như hiện nay, bất kỳ đề cập nào về lỗ hổng trong chức năng Pipeline chắc chắn sẽ ảnh hưởng rất lớn. Khi Pipeline bị xâm phạm, phần mềm có thể bị thay đổi bằng mã độc, backdoor hoặc được sử dụng để đánh cắp thông tin riêng tư từ các tổ chức. Điều này khó phát hiện vì quét bảo mật thường được thực hiện sớm hơn trong quy trình SDLC. Với các vụ vi phạm chuỗi cung ứng nghiêm trọng gần đây, rõ ràng là các tổ chức cần vá lỗ hổng ngay lập tức để ngăn chặn các tác nhân đe dọa xâm phạm phần mềm của họ. Ngoài ra, việc đưa tính năng quét bảo mật vào quy trình có thể giúp phát hiện các sự cố trước khi chúng được triển khai”.
GitLab.com và GitLab Dedicated hiện đang thực thi các phiên bản đã được vá. Công ty này nhấn mạnh tầm quan trọng của việc duy trì hệ sinh thái bảo mật và khuyến nghị tất cả khách hàng nên cập nhật phiên bản mới nhất để phòng tránh trước các mối nguy cơ rủi ro tiềm ẩn.
Hữu Hưng (Tổng hợp)
16:00 | 30/05/2024
13:00 | 12/06/2024
14:00 | 05/08/2024
09:00 | 21/05/2024
14:00 | 30/07/2024
14:00 | 29/07/2024
Ra mắt vào tháng 3/2024, Hamster Kombat là một trò chơi di động trên Android yêu cầu người chơi tham gia kênh Telegram, quét mã QR và chơi trên ứng dụng web.
16:00 | 23/07/2024
Ngày 20/7/2024, Hiệp hội Blockchain Việt Nam phối hợp cùng Đại học Y khoa Phạm Ngọc Thạch TP. Hồ Chí Minh tổ chức tọa đàm với chủ đề “Bức tranh Blockchain & AI toàn cầu: Những ứng dụng trong ngành Y” thu hút 400 sinh viên và giảng viên tham dự.
08:00 | 27/06/2024
Mới đây, tại Hội nghị các nhà phát triển toàn cầu (WWDC), Apple đã có một công bố đình đám về việc hãng này sẽ tích hợp trí tuệ nhân tạo (AI) vào các sản phẩm của mình và hợp tác với OpenAI - nhà sản xuất ChatGPT. Việc này làm dấy lên những lo ngại về việc dữ liệu của người dùng không còn được Táo khuyết bảo mật.
15:00 | 28/05/2024
Cisco đã phát hành một cảnh báo về một lỗ hổng nghiêm trọng trong phần mềm Firepower Management Center (FMC – quản lý tập trung để giám sát các thiết bị) của hãng. Lỗ hổng có mã định danh là CVE-2024-20360 với điểm số CVSS là 8.8.
Ngày 11/9, Chính phủ Anh và công ty Amazon cho biết Tập đoàn công nghệ của Mỹ có kế hoạch đầu tư 8 tỷ bảng (10,5 tỷ USD) vào Anh trong năm 2025 để xây dựng và vận hành các trung tâm dữ liệu. Động thái này được kỳ vọng sẽ đóng góp đáng kể vào nền kinh tế Anh, với tiềm năng tạo ra hơn 14.000 việc làm và đóng góp 14 tỷ bảng vào GDP.
09:00 | 20/09/2024