GitLab ได้เผยแพร่การอัปเดตแพตซ์ด้านความปลอดภัยเร่งด่วนเวอร์ชัน 16.0.1 เพื่อแก้ไขช่องโหว่ระดับ Critical (คะแนน CVSS v3.1: 10.0) หมายเลข CVE-2023-2825

โดย GitLab เป็นที่เก็บ Git repository บนเว็บ สำหรับทีมนักพัฒนาที่ต้องการจัดการโค้ดของตน มีผู้ใช้งานที่ลงทะเบียนประมาณ 30 ล้านราย และลูกค้าที่ใช้เวอร์ชันแบบเสียเงินกว่า 1 ล้านราย

ช่องโหว่ที่พบล่าสุด ถูกพบโดยนักวิจัยด้านความปลอดภัยชื่อ 'pwnie' ซึ่งรายงานช่องโหว่ในช่วงโครงการ bug bounty ของ GitLab ที่ชื่อว่า HackOne โดยช่องโหว่นี้ส่งผลกระทบกับ Community Edition (CE) และ Enterprise Edition (EE) เวอร์ชัน 16.0.0 แต่เวอร์ชันที่เก่ากว่านี้จะไม่ได้รับผลกระทบ
โดยเป็นช่องโหว่ path traversal ที่ทำให้ผู้โจมตีสามารถอ่านไฟล์บนเซิร์ฟเวอร์ได้ตามที่ต้องการ ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่มีความสำคัญ รวมถึงซอฟต์แวร์โค้ด, ข้อมูลผู้ใช้งาน, โทเค็น, ไฟล์ และข้อมูลส่วนตัวอื่น ๆ ได้

อย่างไรก็ตาม เนื่องจากช่องโหว่นี้มีระดับ Critical และเพิ่งถูกค้นพบ GitLab จึงยังไม่ได้เปิดเผยรายละเอียดมากนัก แต่เน้นย้ำถึงความสำคัญของการอัปเดตแพตซ์ให้เป็นเวอร์ชันล่าสุดโดยด่วน

GitLab แนะนำให้ผู้ใช้ GitLab 16.0.0 อัปเดตเป็นเวอร์ชัน 16.0.1 โดยเร็วที่สุด และปัจจุบันยังไม่มีวิธีแก้ไขปัญหาชั่วคราว หากต้องการอัปเดตการติดตั้ง GitLab ให้ทำตามคำแนะนำในหน้าอัปเดตของโปรเจ็กต์ สำหรับการอัปเดต GitLab Runner โปรดดูคู่มือนี้ hxxps[:]//docs[.]gitlab[.]com/runner/install/

 

ที่มา : bleepingcomputer