GitLab ปล่อยอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่สำคัญ 2 รายการ รวมถึงช่องโหว่ที่อาจถูกนำไปใช้เพื่อเข้ายึดบัญชี (account take over) โดยไม่ต้องมีการโต้ตอบ (No user interaction) จากผู้ใช้ GitLab

ช่องโหว่ดังกล่าวได้ถูกติดตามหมายเลข CVE คือ CVE-2023-7028 โดยได้รับระดับความรุนแรง CVSS Score สูงสุดที่ 10.0 และอาจส่งผลช่วยในการยึดบัญชีผู้ใช้งานโดยการส่งอีเมลรีเซ็ตรหัสผ่านไปยังที่อยู่อีเมลที่ยังไม่ได้รับการยืนยันจากระบบได้

GitLab กล่าวว่าช่องโหว่นี้เป็นผลมาจากข้อบกพร่องในกระบวนการตรวจสอบอีเมล ซึ่งอนุญาตให้ผู้ใช้รีเซ็ตรหัสผ่านผ่านไปยังที่อยู่อีเมลสำรองโดยไม่ได้ตรวจสอบ

ช่องโหว่นี้มีผลกับ GitLab Community Edition (CE) ทั้งหมด และมีผลกับ Enterprise Edition (EE) เวอร์ชันดังนี้
- เวอร์ชัน 16.1 ถึง 16.1.5
- เวอร์ชัน 16.2 ถึง 16.2.8
- เวอร์ชัน 16.3 ถึง 16.3.6
- เวอร์ชัน 16.4 ถึง 16.4.4
- เวอร์ชัน 16.5 ถึง 16.5.5
- เวอร์ชัน 16.6 ถึง 16.6.3
- เวอร์ชัน 16.7 ถึง 16.7.1

GitLab กล่าวว่าได้แก้ไขปัญหาใน GitLab เวอร์ชัน 16.5.6, 16.6.4 และ 16.7.2 และเวอร์ชัน 16.1.6, 16.2.9, 16.3.7 และ 16.4.5 โดยบริษัทยังตั้งข้อสังเกตอีกว่าข้อผิดพลาดดังกล่าวได้เกิดขึ้นในเวอร์ชัน 16.1.0 เมื่อวันที่ 1 พฤษภาคม 2023

สำหรับผู้ใช้ที่เปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัย (2-Factor authentication) ยังมีความเสี่ยงที่จะถูกรีเซ็ตรหัสผ่านแต่จะไม่ทำให้ถูกยึดบัญชี เนื่องจากต้องใช้ปัจจัยการตรวจสอบสิทธิ์ที่สองในการเข้าสู่ระบบ

นอกจากนี้ GitLab มีการแพตช์เพิ่มเติมซึ่งอยู่ในส่วนหนึ่งของการอัปเดตล่าสุดนี้อีกด้วย เพื่อแก้ไขข้อบกพร่องร้ายแรงอีกหนึ่งจุด (CVE-2023-5356, คะแนน CVSS: 9.6) ซึ่งอนุญาตให้ผู้ใช้สามารถใช้ Slack/Mattermost ในทางที่ไม่ดี เพื่อรันคำสั่ง slash ในฐานะผู้ใช้รายอื่นได้

เพื่อบรรเทาความเสี่ยงที่อาจเกิดขึ้นกับ GitLab แนะนำให้อัปเกรดอินสแตนซ์เป็นเวอร์ชันที่มีแพตช์โดยเร็วที่สุด และเปิดใช้งาน 2FA หากยังไม่ได้เปิดใช้งาน โดยเฉพาะอย่างยิ่งสำหรับผู้ใช้ที่มีสิทธิ์ระดับสูง

Ref: Urgent: GitLab Releases Patch for Critical Vulnerabilities - Update ASAP