GitLab ได้ประกาศการปล่อยแพตช์ที่สำคัญสำหรับ Community Edition (CE) และ Enterprise Edition (EE) ในเวอร์ชัน 17.4.2, 17.3.5 และ 17.2.9 แพตช์สำคัญเหล่านี้ของ GitLab จำเป็นสำหรับการติดตั้ง GitLab ที่จัดการด้วยตนเอง (self-managed) ทั้งหมด เนื่องจากการแก้ไขช่องโหว่ และข้อผิดพลาดที่อาจทำให้ความสมบูรณ์ของข้อมูลผู้ใช้งาน และความปลอดภัยของระบบถูกโจมตีได้
เวอร์ชันบน GitLab.com เป็นเวอร์ชันที่ได้รับการอัปเดตแพตช์แล้ว ในขณะที่ลูกค้า GitLab Dedicated ได้รับคำแนะนำว่าไม่จำเป็นต้องดำเนินการใด ๆ
แพตช์สำคัญล่าสุดของ GitLab
แพตช์สำคัญของ GitLab ประกอบด้วยการแก้ไขที่สำคัญสำหรับช่องโหว่ใน GitLab และบริษัทขอแนะนำให้ผู้ใช้งานทุกคนอัปเกรดการติดตั้งของตนโดยทันที การอัปเดตเป็นเวอร์ชันล่าสุดไม่เพียงแต่ป้องกันข้อมูลผู้ใช้งาน แต่ยังช่วยให้สอดคล้องกับความมุ่งมั่นของ GitLab ต่อความปลอดภัย สำหรับผู้ที่ต้องใช้อินสแตนซ์ที่จัดการด้วยตนเอง การอัปเกรดไม่ได้เป็นเพียงแค่คำแนะนำ แต่เป็นสิ่งที่สำคัญต่อความสมบูรณ์ในการดำเนินงาน
GitLab ปฏิบัติตาม structured release schedule ซึ่งรวมถึงแพตช์สำคัญทั้งที่วางแผนไว้ และเฉพาะกิจ การเผยแพร่ตามกำหนดการจะเกิดขึ้นเดือนละสองครั้ง โดยเฉพาะในวันพุธที่สอง และสี่ ในขณะที่แพทช์ที่สำคัญจะจัดการกับช่องโหว่ที่มีระดับความรุนแรงสูงที่เกิดขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับกำหนดการเผยแพร่ ผู้ใช้งานสามารถดูได้จากคู่มือการเผยแพร่ของ GitLab และคำถามที่พบบ่อยด้านความปลอดภัย
ส่วนหนึ่งของแนวทางของ GitLab รายละเอียดที่เกี่ยวกับช่องโหว่แต่ละรายการจะถูกเผยแพร่สู่สาธารณะในระบบติดตามปัญหาภายใน 30 วันหลังจากการปล่อยอัปเดตแพตช์ ซึ่งช่วยให้ผู้ใช้งานสามารถรับทราบข้อมูลเกี่ยวกับภัยคุกคามที่อาจเกิดขึ้น และมาตรการที่ใช้ในการบรรเทาผลกระทบ
ช่องโหว่ที่สำคัญได้รับการแก้ไขแล้ว
แพตช์สำคัญล่าสุดของ GitLab ประกอบด้วยการแก้ไขหลายรายการสำหรับช่องโหว่ใน GitLab ซึ่งจัดหมวดหมู่ตามระดับความรุนแรง ด้านล่างนี้คือช่องโหว่สำคัญบางส่วนที่ได้รับการแก้ไขแล้ว
1.ช่องโหว่ระดับ Critical : Running Pipelines on Arbitrary Branches (CVE-2024-9164)
- ช่องโหว่ที่สำคัญนี้ทำให้ผู้ไม่หวังดีสามารถเรียกใช้ pipelines บน Branches ใดก็ได้ตั้งแต่เวอร์ชัน 12.5 จนถึงเวอร์ชันล่าสุด ก่อนการปล่อยแพตช์ ช่องโหว่นี้มีความรุนแรงระดับ critical (คะแนน CVSS 9.6)
2.ช่องโหว่ระดับ High : Impersonating Arbitrary Users (CVE-2024-8970)
- อีกหนึ่งช่องโหว่ที่สำคัญสามารถทำให้ผู้ไม่หวังดีเริ่มต้น pipeline ในฐานะผู้ใช้งานรายอื่นภายใต้เงื่อนไขเฉพาะ ช่องโหว่นี้มีผลกระทบต่อเวอร์ชันตั้งแต่ 11.6 จนถึง 17.4.2 และมีความรุนแรงระดับ high (คะแนน CVSS ที่ 8.2)
3.ช่องโหว่ระดับ : High : SSRF in Analytics Dashboard (CVE-2024-8977)
- อินสแตนซ์ที่เปิดใช้งานแดชบอร์ดการวิเคราะห์ผลิตภัณฑ์ พบว่ามีความเสี่ยงต่อการโจมตีแบบ Server-Side Request Forgery (SSRF) ช่องโหว่นี้มีผลกระทบกับเวอร์ชันตั้งแต่ 15.10 และมีความรุนแรงระดับ high (คะแนน CVSS ที่ 8.2) ช่องโหว่นี้ได้รับการแก้ไขแล้วเช่นกัน
4.ช่องโหว่ระดับ : High : Slow Diffs of Merge Requests with Conflicts (CVE-2024-9631)
- ปัญหาการดูส่วนต่างของ merge requests (MR) ที่มี conflicts นั้นช้าอย่างเห็นได้ชัด เนื่องจากความไม่มีประสิทธิภาพในการประมวลผล ช่องโหว่นี้มีผลกระทบกับเวอร์ชันตั้งแต่ 13.6 และถึงแม้ว่าจะไม่กระทบต่อความปลอดภัยโดยตรง แต่ก็อาจส่งผลต่อประสิทธิภาพการทำงานได้ ช่องโหว่นี้มีความรุนแรงระดับ high (คะแนน CVSS ที่ 7.5)
5.ช่องโหว่ระดับ : High : HTML Injection in OAuth Page (CVE-2024-6530)
- ช่องโหว่การโจมตี cross-site scripting (XSS) ทำให้สามารถเรนเดอร์ HTML โดยไม่ได้รับอนุญาต เมื่อทำการอนุญาตแอปพลิเคชันใหม่ ช่องโหว่นี้ได้รับการแก้ไขในทุกเวอร์ชันก่อนหน้านี้จนถึงการปล่อยเวอร์ชันล่าสุด และมีระดับความรุนแรงที่ 7.3
6.ช่องโหว่ระดับ : Medium : Deploy Keys Pushing Changes to Archived Repositories (CVE-2024-9623)
- ช่องโหว่ความรุนแรงระดับ Medium ซึ่ง deploy keys สามารถทำให้เกิดการเปลี่ยนแปลงไปยัง archived repositories ช่องโหว่นี้ส่งผลกระทบกับเวอร์ชันตั้งแต่ 8.16 และอาจก่อให้เกิดความเสี่ยงหากไม่ได้รับการแก้ไข
7.ช่องโหว่ระดับ : Low : GitLab Instance Version Disclosure (CVE-2024-9596)
- ช่องโหว่ความรุนแรงระดับ Low ทำให้ผู้ไม่หวังดีที่ไม่ได้ยืนยันตัวตนสามารถค้นหาหมายเลขเวอร์ชันอินสแตนซ์ของ GitLab ซึ่งอาจนำไปสู่การโจมตีแบบกำหนดเป้าหมายได้ ช่องโหว่นี้เน้นย้ำถึงความสำคัญของการป้องกัน แม้แต่รายละเอียดเล็ก ๆ น้อย ๆ ในการตั้งค่าระบบ
คำแนะนำสำหรับผู้ใช้งาน
- เนื่องจากความสำคัญของช่องโหว่ใน GitLab เหล่านี้ จึงขอแนะนำผู้ใช้งานทุกคนที่ใช้เวอร์ชันที่ได้รับผลกระทบให้ทำการอัปเกรดเป็นเวอร์ชันล่าสุดโดยเร็วที่สุด
- สำหรับผู้ใช้งานที่ต้องการอัปเดตการติดตั้ง GitLab สามารถตรวจสอบคำแนะนำได้ที่หน้า GitLab Update นอกจากนี้ ยังมีคำแนะนำสำหรับการอัปเดต GitLab Runner ซึ่งสามารถตรวจสอบได้ในส่วนที่แยกต่างหากสำหรับการอัปเดตของ Runner
ที่มา : thecyberexpress
You must be logged in to post a comment.