เมนู

พบช่องโหว่บน GitLab สร้างความเสียหายต่อผู้ใช้งาน

gitlab1040

พบช่องโหว่บน GitLab ที่ทำให้เกิดความเสียหายต่อบัญชีผู้ใช้งาน จากการโจมตีระยะไกล

5 เมษายน 2565
 
🧨 GitLab ได้มีการแก้ไขปัญหาช่องโหว่ CVE-2022-1162 ที่ทำให้เกิดความเสียหายต่อบัญชีผู้ใช้งาน จากการโจมตีระยะไกลแบบ ที่ส่งผลกระทบต่อ GitLab Community Edition (CE) และ Enterprise Edition (EE) จากปัญหาที่เกิดขึ้นนี้เกิดจากการตั้งรหัสผ่านเอง โดยที่ไม่มีการลงทะเบียนผ่าน OmniAuth ใน GitLab CE/EE
 
🧐 ในส่วนของรหัสผ่านที่ได้มีการลงทะเบียนผ่าน OmniAuth ตัวอย่างเช่น OAuth, LADP, SAML ใน GitLab CE/EE เวอร์ชัน 14.7,14.8 และ 14.9 ที่ถูกโจมตีนั้น ทางทีม GitLab ได้แก้ไขข้อบกพร่องของเวอร์ชันที่มีปัญหาและแจ้งให้ผู้ใช้งานอัปเกรดเป็นเวอร์ชันล่าสุดทันที โดยจะให้ใช้เวอร์ชัน 14.9.2,14.8.5 หรือ 14.7.7 เพื่อป้องกันการโจตีที่จะเกิดขึ้น
 
💡 ทางบริษัทมีการตรวจสอบบัญชีของผู้ใช้งานที่ได้รับปัญหาช่องโหว่ (CVE-2022-1162) และระบุบัญชีที่ได้รับผลกระทบแล้ว แนะนำให้ผู้ใช้งานรีเซ็ตรหัสผ่านใหม่ เพื่อลดปัญหาของช่องโหว่ที่เกิดขึ้น