GitLab แก้ไขช่องโหว่ร้ายแรงในระบบ Pipeline จำนวน 18 รายการ

GitLab เปิดตัวอัปเดตความปลอดภัยแก้ไขช่องโหว่ 18 รายการ รวมถึงช่องโหว่ร้ายแรง CVE-2024-6678 ที่อาจถูกใช้เพื่อเรียกใช้ Pipeline เป็นผู้ใช้งานอื่นได้

GitLab ได้ออกอัปเดตความปลอดภัยสำหรับ GitLab Community Edition (CE) และ Enterprise Edition (EE) เวอร์ชัน 17.3.2, 17.2.5 และ 17.1.7 เพื่อแก้ไขช่องโหว่ความปลอดภัยทั้งหมด 18 รายการ โดยช่องโหว่ที่ร้ายแรงที่สุดคือ CVE-2024-6678 ซึ่งมีคะแนนความรุนแรง 9.9 จาก 10 ช่องโหว่นี้อาจทำให้ผู้โจมตีสามารถสั่งหยุดการทำงานผ่านสิทธิของผู้ใช้งานอื่นได้

ช่องโหว่ร้ายแรงที่ได้รับการแก้ไขในครั้งนี้ส่งผลกระทบต่อ GitLab CE/EE ตั้งแต่เวอร์ชัน 8.14 จนถึง 17.1.7, เวอร์ชัน 17.2 ก่อน 17.2.5 และเวอร์ชัน 17.3 ก่อน 17.3.2 GitLab แนะนำให้ผู้ใช้งานทุกคนอัปเกรดเป็นเวอร์ชันล่าสุดโดยเร็วที่สุด นอกจากนี้ยังมีการแก้ไขช่องโหว่ความรุนแรงสูงอีก 4 รายการ ดังนี้:

  • CVE-2024-8640: ช่องโหว่การตรวจสอบ Input ที่ไม่เหมาะสม อาจทำให้ผู้โจมตีแทรกคำสั่งเข้าไปยัง Cube server ผ่านการกำหนดค่า YAML
  • CVE-2024-8635: ช่องโหว่ Server-Side Request Forgery (SSRF) ที่อาจถูกใช้เพื่อเข้าถึงทรัพยากรภายในผ่าน URL ของ Maven Dependency Proxy
  • CVE-2024-8124: ช่องโหว่ที่อาจทำให้เกิดการโจมตีแบบ DoS โดยการส่งพารามิเตอร์ ‘glm_source’ ขนาดใหญ่
  • CVE-2024-8641: ช่องโหว่ที่อาจทำให้ผู้โจมตีใช้ CI_JOB_TOKEN เพื่อเข้าถึง session token ของเหยื่อและยึด session ได้

ที่มา: https://www.bleepingcomputer.com/news/security/gitlab-warns-of-critical-pipeline-execution-vulnerability/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่ Cupertino, CA แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Microsoft เปิดตัว Drasi ระบบ Data Processing ที่จัดการ Big Data ได้ง่ายขึ้น

ช่วงสัปดาห์ที่ผ่านมา ทาง Microsoft ได้เปิดตัว Drasi ระบบประมวลผลข้อมูล (Data Processing) ใหม่ให้เป็น Open Source ที่จะช่วยทำให้การตรวจจับและตอบสนองต่อการเปลี่ยนแปลงข้อมูลในฐานข้อมูลได้ง่ายขึ้นกว่าเดิม

Hugging Face เปิดตัวเครื่องมือใหม่ สร้างเว็บแอปต่อโมเดล OpenAI ได้ภายในไม่กี่นาที

Hugging Face ได้ปล่อยเครื่องมือใหม่ในชื่อ “OpenAI-Gradio” ซึ่งเป็นชุดเครื่องมือภาษา Python ที่ทำให้สามารถสร้างเว็บแอปพลิเคชัน AI ที่ต่อยอดนำเอาโมเดล LLM ของ OpenAI ได้ภายในไม่กี่นาที เขียนไม่กี่บรรทัดเท่านั้น