GitLab แจ้งเตือนให้รีบอัปเดตแพตซ์โดยเร็วที่สุด

    GitLab ได้เผยแพร่การอัปเดตแพตซ์ด้านความปลอดภัยเร่งด่วนให้เป็นเวอร์ชัน 16.0.1 เพื่อแก้ไขช่องโหว่ระดับ Critical (คะแนน CVSS v3.1: 10.0) หมายเลข CVE-2023-2825 (รายละเอียด https://nvd.nist.gov/vuln/detail/CVE-2023-2825) โดย GitLab เป็นที่เก็บ Git repository บนเว็บ สำหรับทีม Depvelopment ที่ต้องการจัดการโค้ดของตนมีผู้ใช้งานที่ลงทะเบียนประมาณ 30 ล้านราย และลูกค้าที่ใช้เวอร์ชันแบบเสียเงินกว่า 1 ล้านราย

    ช่องโหว่ที่พบล่าสุด ถูกพบโดยผู้เชี่ยวชาญด้านความปลอดภัยชื่อ 'pwnie' ซึ่งรายงานช่องโหว่ในช่วงโครงการ bug bounty ของ GitLab ที่ชื่อว่า HackOne โดยช่องโหว่นี้ส่งผลกระทบกับ Community Edition (CE) และ Enterprise Edition (EE) เวอร์ชัน 16.0.0 แต่เวอร์ชันที่เก่ากว่านี้จะไม่ได้รับผลกระทบ

โดยเป็นช่องโหว่ path traversal ที่ทำให้ผู้โจมตีสามารถอ่านไฟล์บนเซิร์ฟเวอร์ได้ตามที่ต้องการ ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่มีความสำคัญ รวมถึงซอฟต์แวร์โค้ด, ข้อมูลผู้ใช้งาน, โทเค็น, ไฟล์ และข้อมูลส่วนตัวอื่น ๆ ได้ อย่างไรก็ตาม เนื่องจากช่องโหว่นี้มีระดับ Critical และเพิ่งถูกค้นพบ GitLab จึงยังไม่ได้เปิดเผยรายละเอียดมากนัก แต่เน้นย้ำถึงความสำคัญของการอัปเดตแพตซ์ให้เป็นเวอร์ชันล่าสุดโดยด่วน

    GitLab แนะนำให้ผู้ใช้ GitLab 16.0.0 อัปเดตเป็นเวอร์ชัน 16.0.1 โดยเร็วที่สุด และปัจจุบันยังไม่มีวิธีแก้ไขปัญหาชั่วคราว หากต้องการอัปเดตการติดตั้ง GitLab ให้ทำตามคำแนะนำในหน้าอัปเดตของโปรเจ็กต์ สำหรับการอัปเดต GitLab Runner โปรดดูคู่มือนี้ hxxps[:]//docs[.]gitlab[.]com/runner/install/

Ref: bleepingcomputer