GitLab ออกแพตช์ช่องโหว่ความรุนแรงสูง ผู้ดูแลระบบควรแพตช์ทันที

GitLab ออกแพตช์ช่องโหว่ความรุนแรงสูง ทำให้ผู้โจมตีสามารถรัน GitLab Pipeline ของผู้ใช้งานอื่นได้ ผู้ดูแลระบบควรแพตช์ทันที

Credit:alexmillos/ShutterStock

ช่องโหว่ CVE-2024-6385 มีความรุนแรงตาม CVSS ระดับ 9.6 หรือระดับ Critical ทำให้ผู้โจมตีสามารถสั่งการทำงานของ GitLab Pipeline หรือระบบ CI/CD ของผู้ใช้งานรายอื่นในระบบได้ ซึ่งอาจนำไปสู่การรั่วไหลของซอร์สโค้ด หรือการโจมตีแบบ Supply Chain Attack ได้ ช่องโหว่ดังกล่าวกระทบ GitLab CE/EE เวอร์ชัน 15.8 ถึง 16.11.6, 17.0 ถึง 17.0.4 และ 17.1 ถึง 17.1.2

GitLab ได้เตือนให้ผู้ดูแลระบบควรทำการแพตช์ทันทีเนื่องจากเป็นช่องโหว่ที่มีความเสี่ยงสูง โดยสามารถอัปเดตไปใช้งาน GitLab Community และ Enterprise เวอร์ชัน 17.1.2, 17.0.4 และ 16.11.6 เพื่ออุดช่องโหว่ได้แล้ว ส่วน GitLab.com และ GitLab Dedicated นั้นได้รับการแพตช์เป็นที่เรียบร้อยแล้ว

ที่ผ่านมา GitLab ได้มีการออกแพตช์ช่องโหว่ความรุนแรงสูงหลายตัว เช่น CVE-2024-5655 ถูกแพตช์ในเดือนมิถุนายน ซึ่งเป็นช่องโหว่ที่คล้ายกัน, CVE-2024-4835 ช่องโหว่ Cross-site scripting นอกจากนี้ เมื่อเดือนพฤษภาคม CISA ยังมีการประกาศเตือนถึงช่องโหว่ Zero-click บน GitLab ที่ถูกมุ่งเป้าโจมตีอีกด้วย

ที่มา: Bleeping Computer

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่ Cupertino, CA แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

VRCOMM จับมือ Hillstone Networks ให้บริการ NGFW, ADC และ NDR ภายในแนวคิด Integrative Cybersecurity

Digital Transformation สร้างความซับซ้อนให้แก่ระบบ IT ทลายขอบเขตการรักษาความมั่นคงปลอดภัยจากแค่ห้อง Data Center สู่ระบบ Cloud และอุปกรณ์ Endpoint การรักษาความมั่นคงปลอดภัยทางไซเบอร์ในยุคดิจิทัลจึงต้องการความครอบคลุมและประสานการทำงานได้อย่างบูรณาการ VRCOMM ผู้จัดจำหน่ายโซลูชันด้าน Network …

Google ถอดซอฟต์แวร์ Antivirus ของ Kaspersky ออกจาก Play Store พร้อมปิดบัญชี

ช่วงวันหยุดสุดสัปดาห์ที่ผ่านมา Google ได้มีการถอดแอป Security ของทาง Kaspersky ออกจาก Google Play Store รวมทั้งปิดบัญชีนักพัฒนาของบริษัทสัญชาติรัสเซียไปอีกด้วย