GitLab ได้ออกแพตช์แก้ไขช่องโหว่หลายรายการ โดยช่องโหว่ที่ร้ายแรงที่สุดหมายเลข CVE-2024-6678 เป็นช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีเรียกใช้ pipelines ตามที่ต้องการภายใต้เงื่อนไขบางประการได้
การออกแพตช์ครั้งนี้ สำหรับผู้ใช้งานเวอร์ชัน 17.3.2, 17.2.5 และ 17.1.7 ทั้งในส่วนของ GitLab Community Edition (CE) และ Enterprise Edition (EE) รวมไปถึงแพตช์ที่มีปัญหาด้าน security ทั้งหมด 18 รายการ ซึ่งเป็นการออกแพตช์อัปเดตความปลอดภัยทุก ๆ สองเดือน (ตามกำหนดการ)
ช่องโหว่หมายเลข CVE-2024-6678 (คะแนน CVSS:9.9/10) ความรุนแรงระดับ critical เป็นช่องโหว่ที่อาจทำให้ผู้ไม่ประสงค์ดีสามารถหยุดการทำงานของระบบด้วยสิทธื์เจ้าของระบบได้
ความรุนแรงของช่องโหว่เกิดจากความเสี่ยงในการถูกโจมตีจากระยะไกล และไม่จำเป็นต้องมีการโต้ตอบกับผู้ใช้งาน รวมไปถึงไม่จำเป็นต้องมีสิทธิ์สูงก็สามารถใช้ประโยชน์จากช่องโหว่นี้ได้
GitLab แจ้งเตือนว่าปัญหาดังกล่าวส่งผลต่อ CE/EE ตั้งแต่เวอร์ชั่น 8.14 ถึง 17.1.7 และเวอร์ชั่น 17.2 ถึง 17.2.5 รวมไปถึงเวอร์ชั่น 17.3 ถึง 17.3.2
คำแนะนำ สำหรับเวอร์ชั่นที่ได้รับผลกระทบให้ทำการอัปเดตเป็นเวอร์ชั่นล่าสุดโดยเร็วที่สุด
GitLab pipelines คือ ระบบ automated workflows ที่ใช้สร้าง ทดสอบ และ deploy code ซึ่งเป็นส่วนหนึ่งของระบบ CI/CD (Continuous Integration/Continuous Delivery) ของ GitLab
โดยมันถูกออกมาแบบมาเพื่อปรับกระบวนการพัฒนาซอฟต์แวร์ให้มีประสิทธิภาพมากขึ้น ด้วยวิธีให้มีการทำงานซ้ำ ๆ ในรูปแบบอัตโนมัติ และมีการตรวจสอบการเปลี่ยนแปลง codebase ในการทดสอบและนำไปใช้งานอยู่เสมอ
ในช่วงหลายเดือนที่ผ่านมา GitLab ได้แก้ไขช่องโหว่ arbitrary pipeline หลายครั้ง โดยมีข้อมูลดังนี้
- เดือนกรกฎาคม 2024 มีการแก้ไขช่องโหว่หมายเลข CVE-2024-6385
- เดือนมิถุนายน 2024 มีการแก้ไขช่องโหว่หมายเลข CVE-2024-5655
- เดือนกันยายน 2023 มีการแก้ไขช่องโหว่หมายเลข CVE-2023-5009
ซึ่งช่องโหว่ทั้งหมดจัดอยู่ในความรุนแรงระดับ critical
ในรายงานได้ระบุช่องโหว่ระดับ High อีก 4 รายการ โดยมีคะแนนระหว่าง 6.7 – 8.5 โดยเป็นช่องโหว่ที่อาจทำให้ผู้ไม่ประสงค์ดีสามารถเรียกใช้คำสั่งที่ไม่ได้รับอนุญาต และเข้าถึงข้อมูลที่สำคัญ รวมไปถึงสามารถหยุดการทำงานของระบบได้ ซึ่งมีรายละเอียด ดังนี้
- CVE-2024-8640 : เป็นช่องโหว่ที่เกิดจาก improper input filtering ซึ่งทำให้ผู้ไม่ประสงค์ดีสามารถ inject commands ลงในเซิร์ฟเวอร์ Cube ที่เชื่อมต่อผ่านการกำหนดค่าใน YAML ได้ อาจทำให้ส่งผลกระทบต่อ data integrity ใน GitLab EE ตั้งแต่เวอร์ชัน 16.11 เป็นต้นไป
- CVE-2024-8635 : เป็นช่องโหว่ที่ผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์จากช่องโหว่ Server-Side Request Forgery (SSRF) ในการสร้าง custom Maven Dependency Proxy URL เพื่อส่ง request ไปยังภายในเครือข่าย ซึ่งอาจทำให้สามารถเข้าถึง และควบคุมโครงสร้างพื้นฐาน โดยส่งผลกระทบต่อ GitLab EE ตั้งแต่เวอร์ชัน 16.8 เป็นต้นไป
- CVE-2024-8124 : เป็นช่องโหว่ที่ผู้ไม่ประสงค์ดีสามารถทำให้เกิด DoS ได้โดยการส่งพารามิเตอร์ 'glm_source' จำนวนมาก ทำให้ระบบทำงานหนัก และไม่สามารถให้บริการต่อได้ ส่งผลกระทบต่อ GitLab CE/EE ตั้งแต่เวอร์ชัน 16.4 เป็นต้นไป
- CVE-2024-8641 : เป็นช่องโหว่ที่ผู้ไม่ประสงค์ดีใช้ประโยชน์จาก CI_JOB_TOKEN เพื่อเข้าถึงโทเค็นเซสชัน GitLab ของเป้าหมาย ซึ่งทำให้ผู้ไม่ประสงค์ดีสามารถแฮ็กเซสชันได้ ส่งผลกระทบต่อ GitLab CE/EE ตั้งแต่เวอร์ชัน 13.7 เป็นต้นไป
คำแนะนำ ควรดำเนินการอัปเดต source code และ packages โดยสามารถดาวน์โหลดการอัปเดตได้จาก GitLab’s official download portal และ GitLab Runner packages
Ref : bleepingcomputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น