GitLab Keluarkan Patch untuk Kerentanan Kritikal yang Boleh Membiarkan Penyerang Merampas Akaun

hafiz06

DFM Hackers
DFM Hackers
LV
0
 
6 Jun 2021
51
246
DragonCoin
4,705.00
Samsung Galaxy Z FLIP 3
gitlab.jpg

Platform DevOps GitLab telah mengeluarkan kemas kini perisian untuk menangani kerentanan keselamatan kritikal yang, jika berpotensi dieksploitasi, boleh membenarkan musuh merampas kawalan akaun.

Dijejaki sebagai CVE-2022-1162, isu itu mempunyai skor CVSS 9.1 dan dikatakan telah ditemui secara dalaman oleh pasukan GitLab.

"Kata laluan berkod keras telah ditetapkan untuk akaun yang didaftarkan menggunakan pembekal OmniAuth (cth, OAuth, LDAP, SAML) dalam GitLab CE/EE versi 14.7 sebelum 14.7.7, 14.8 sebelum 14.8.5 dan 14.9 sebelum 14.9.2 membenarkan penyerang berpotensi mengambil alih akaun," kata syarikat itu dalam satu nasihat yang diterbitkan pada 31 Mac.

GitLab, yang telah menangani pepijat dengan keluaran terkini versi 14.9.2, 14.8.5 dan 14.7.7 untuk GitLab Community Edition (CE) dan Enterprise Edition (EE), juga berkata ia mengambil langkah menetapkan semula kata laluan bagi bilangan pengguna yang tidak ditentukan kerana banyak berhati-hati.

password.jpg

"Siasatan kami tidak menunjukkan petunjuk bahawa pengguna atau akaun telah dikompromi," tambahnya.

Syarikat itu juga telah menerbitkan skrip yang boleh dijalankan oleh pentadbir contoh urus sendiri untuk memilih akaun yang berpotensi terjejas oleh CVE-2022-1162. Selepas akaun yang terjejas dikenal pasti, tetapan semula kata laluan telah dinasihatkan.

Turut ditangani oleh GitLab sebagai sebahagian daripada kemas kini keselamatan ialah dua pepijat skrip rentas tapak (XSS) tersimpan keterukan tinggi (CVE-2022-1175 dan CVE-2022-1190) serta sembilan kelemahan keterukan sederhana dan lima isu yang dinilai rendah dalam keterukan.

Memandangkan kritikal beberapa isu, pengguna yang menjalankan pemasangan yang terjejas amat disyorkan untuk menaik taraf kepada versi terkini secepat mungkin.


Reference :-