Được gán mã định danh CVE-2024-6385 (điểm CVSS 9,6), lỗ hổng cho phép kẻ tấn công thực thi các tác vụ Pipeline với tư cách là người dùng tùy ý, trong một số trường hợp nhất định và ảnh hưởng đến GitLab CE/EE phiên bản 15.8 đến 16.11.5, 17.0.0 đến 17.0.3 và 17.1.0 đến 17.1.1.
Lỗ hổng CVE-2024-6385 được báo cáo thông qua chương trình Bug bounty của GitLab trên HackerOne bởi một người dùng có tên là “yvvdwf”. Hiện tại, công ty cho biết lỗ hổng này đã được giải quyết trong bản phát hành GitLab CE/EE phiên bản 17.1.2, 17.0.4 và 16.11.6.
Theo ông David Lindner, Giám đốc an ninh thông tin tới từ hãng bảo mật Contrast Security (trụ sở chính tại Mỹ) đã cảnh báo rằng, việc khai thác thành công lỗ hổng CVE-2024-6385 có thể cho phép kẻ tấn công thực thi mã độc, truy cập dữ liệu nhạy cảm và xâm phạm tính toàn vẹn của phần mềm.
Bản vá cập nhật xử lý lỗ hổng CVE-2024-6385 được phát hành khoảng 2 tuần sau khi nền tảng DevOps giải quyết một lỗ hổng khác (CVE-2024-5655) cho phép kẻ tấn công chạy các tác vụ Pipeline.
Đáng chú ý, trong bản cập nhật GitLab mới nhất cũng giải quyết một lỗ hổng có mức độ nghiêm trọng (CVE-2024-5257) có thể cho phép các nhà phát triển có quyền admin_compliance_framework sửa đổi URL group cho namespace. Bốn vấn đề còn lại được giải quyết trong bản cập nhật mới là các lỗ hổng có mức độ nghiêm trọng thấp.
Ngoài các bản vá lỗ hổng bảo mật, bản cập nhật còn bao gồm nhiều bản sửa lỗi và cải tiến trên nhiều thành phần GitLab khác nhau, chẳng hạn như Git, MailRoom, CI/CD Pipeline và tích hợp Redis.
Nhà nghiên cứu Ray Kelly của hãng bảo mật Synopsys Software Integrity Group (Canada), cho biết: “Trong thế giới DevSecOps phát triển nhanh như hiện nay, bất kỳ đề cập nào về lỗ hổng trong chức năng Pipeline chắc chắn sẽ ảnh hưởng rất lớn. Khi Pipeline bị xâm phạm, phần mềm có thể bị thay đổi bằng mã độc, backdoor hoặc được sử dụng để đánh cắp thông tin riêng tư từ các tổ chức. Điều này khó phát hiện vì quét bảo mật thường được thực hiện sớm hơn trong quy trình SDLC. Với các vụ vi phạm chuỗi cung ứng nghiêm trọng gần đây, rõ ràng là các tổ chức cần vá lỗ hổng ngay lập tức để ngăn chặn các tác nhân đe dọa xâm phạm phần mềm của họ. Ngoài ra, việc đưa tính năng quét bảo mật vào quy trình có thể giúp phát hiện các sự cố trước khi chúng được triển khai”.
GitLab.com và GitLab Dedicated hiện đang thực thi các phiên bản đã được vá. Công ty này nhấn mạnh tầm quan trọng của việc duy trì hệ sinh thái bảo mật và khuyến nghị tất cả khách hàng nên cập nhật phiên bản mới nhất để phòng tránh trước các mối nguy cơ rủi ro tiềm ẩn.
Hữu Hưng (Tổng hợp)
08:00 | 26/09/2024
10:00 | 18/10/2024
16:00 | 30/05/2024
13:00 | 12/06/2024
14:00 | 05/08/2024
09:00 | 21/05/2024
14:00 | 30/07/2024
12:00 | 14/01/2025
Đầu tháng 01/2025, MediaTek đã thông báo một loạt các lỗ hổng bảo mật ảnh hưởng đến các chipset của hãng, bao gồm các sản phẩm từ điện thoại thông minh, máy tính bảng cho đến các thiết bị IoT và TV thông minh.
08:00 | 02/01/2025
Ngày 24/12, chính quyền Iran đã dỡ bỏ lệnh cấm đối với nền tảng nhắn tin WhatsApp và Google Play như một bước đầu tiên để thu hẹp các hạn chế về internet.
15:00 | 25/12/2024
Ngày 20/12/2024, tại TP. Hồ Chí Minh, một trong những sự kiện công nghệ được mong đợi nhất trong năm HPT D-Day 2024 với chủ đề “Hợp tác hướng đến tương lai” đã diễn ra thành công tốt đẹp.
10:00 | 04/12/2024
Một cảnh báo khẩn cấp được đưa ra đối với 1,5 tỷ người dùng iPhone trên toàn cầu, sau khi các chuyên gia phát hiện một cuộc tấn công mạng nhắm vào tài khoản Apple ID.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Theo báo cáo bảo mật Android 2024 được Google công bố cuối tháng 1/2025 cho thấy hãng đã chặn 2,36 triệu ứng dụng vi phạm chính sách trước khi chúng được phát hành trên Play Store, cấm hơn 158.000 tài khoản của các nhà phát triển cố gắng phát hành ứng dụng có hại.
10:00 | 13/02/2025
