Nền tảng DevOps GitLab đã phát hành các bản cập nhật phần mềm để giải quyết một lỗ hổng bảo mật nghiêm trọng, nếu bị khai thác, có thể cho phép kẻ thù chiếm quyền kiểm soát tài khoản.
Theo dõi là CVE-2022-1162vấn đề có điểm CVSS là 9,1 và được cho là đã được phát hiện trong nội bộ nhóm GitLab.
“mật khẩu được mã hóa cứng đã được đặt cho các tài khoản được đăng ký bằng nhà cung cấp OmniAuth (ví dụ: OAuth, LDAP, SAML) trong GitLab CE / EE phiên bản 14.7 trước 14.7.7, 14.8 trước 14.8.5 và 14.9 trước 14.9.2 cho phép công ty cho biết trong một lời khuyên được công bố vào ngày 31 tháng 3.
GitLab, đã khắc phục lỗi với bản phát hành mới nhất của các phiên bản 14.9.2, 14.8.5 và 14.7.7 cho GitLab Community Edition (CE) và Enterprise Edition (EE), cũng cho biết họ đã thực hiện bước đặt lại mật khẩu của một số lượng người dùng không xác định trong tình trạng hết sức thận trọng.
“Cuộc điều tra của chúng tôi cho thấy không có dấu hiệu nào cho thấy người dùng hoặc tài khoản đã bị xâm phạm,” nó nói thêm.
Công ty cũng đã xuất bản một tập lệnh mà quản trị viên của các phiên bản tự quản lý có thể chạy tới các tài khoản riêng lẻ có khả năng bị ảnh hưởng bởi CVE-2022-1162. Sau khi các tài khoản bị ảnh hưởng được xác định, bạn nên đặt lại mật khẩu.
Cũng được GitLab giải quyết như một phần của bản cập nhật bảo mật là hai lỗi tập lệnh chéo trang web được lưu trữ (XSS) có mức độ nghiêm trọng cao (CVE-2022-1175 và CVE-2022-1190) cũng như chín lỗi ở mức độ trung bình và năm sự cố đánh giá mức độ nghiêm trọng thấp.
Do mức độ nghiêm trọng của một số vấn đề, người dùng đang chạy các bản cài đặt bị ảnh hưởng được khuyến nghị nâng cấp lên phiên bản mới nhất càng sớm càng tốt.
.
