424/66 (IT) ประจำวันศุกร์ที่ 22 กันยายน 2566
GitLab ได้ออก Patch เพื่อแก้ไขช่องโหว่ระดับ critical ทำให้ผู้โจมตีสามารถเรียกใช้ pipelines ของผู้ใช้รายอื่นได้ โดยหมายเลข CVE-2023-5009 ( คะแนน CVSS: 9.6 ) ซึ่งส่งผลกระทบต่อทุกเวอร์ชันของ GitLab Enterprise Edition (EE) ตั้งแต่ 13.12 และก่อนหน้า 16.2.7 รวมถึงจาก 16.3 และก่อน 16.3.4 หากมีการใช้ประโยชน์จากช่องโหว่ได้สำเร็จอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนหรือใช้ประโยชน์จากการอนุญาตระดับสูงของผู้ใช้ที่แอบอ้างเพื่อแก้ไขซอร์สโค้ดหรือเรียกใช้โค้ดที่กำหนดเองบนระบบ
นักวิจัยด้านความปลอดภัย Johan Carlsson (aka joaxcar) ได้รับเครดิตในการพบช่องโหว่และรายงานช่องโหว่ CVE-2023-3932 โดย GitLab ได้แก้ไขช่องโหว่ในช่วงต้นเดือนสิงหาคม 2023 ซึ่งช่องโหว่ดังกล่าวได้รับการแก้ไขใน GitLab เวอร์ชัน 16.3.4 และ 16.2.7 ผู้ใช้งานอัปเดตการติดตั้ง GitLab ให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุดเพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้น
แหล่งข่าว https://thehackernews.com/2023/09/gitlab-releases-urgent-security-patches.html