นักวิจัยด้านความปลอดภัย Edwin Foudil ทำการยึดโดเมนจำนวนกว่า700 โดเมนของเว็บไซต์ GitLab โดยใช้เวลาเพียงไม่กี่วินาที หลังจากที่เขาตรวจพบช่องโหว่ในระบบจะดการโดเมนเนมของบริษัทปัญหาดังกล่าวที่ไม่มีการตรวจสอบความถูกต้องเมื่อผู้ใช้เพิ่มโดเมนที่กำหนดเอง (custom domain) ไปยังบัญชี GitLab
เนื่องฟีเจอร์ GitLab Pages นั้นรองรับการตั้งค่าโดเมนเนม ผู้โจมตีจึงสามารถแก้ไขการตั้งค่าโดเมนเนมของ GitLab Pages ตัวเองถือครองอยู่ให้เป็นโดเมนเนมที่มีอยู่จริงของ GitLab และชี้ไปยังไอพีเดียวกันได้ ส่งผลให้ผู้โจมตีสามารถควบคุมเนื้อหาที่จะแสดงได้จากรไฟล์บน repository ด้วย
ทางบริษัทได้ทำการปิดฟังก์ชันดังกล่าวและกำลังดำเนินการแก้ปัญหาโดยคาดการณ์ว่าสามารถแก้ไขให้เสร็จสิ้นภายในสิ้นเดือนนี้
ที่มา: zdnet
You must be logged in to post a comment.