Trong tuần trước, GitLab đã tung ra một loạt các bản cập nhật bất thường nhằm giải quyết triệt để một số lỗ hổng bảo mật quan trọng được tìm thấy trên nền tảng. Vấn đề khó khăn nằm ở chỗ những lỗ hổng nghiêm trọng này tồn tại trong nhiều danh mục của GitLab, đồng thời nhắm mục tiêu đến các phiên bản khác nhau của nền tảng này gây khó khăn cho công tác vá lỗi. Hiện GitLab chưa tiết lộ nhiều chi tiết về lỗ hổng cũng như các bản vá, tuy nhiên để đảm bảo an toàn, bạn nên cập nhật Gitlab của mình lên phiên bản mới nhất.
Đã có 3 lỗ hổng bảo mật nghiêm trọng được tìm thấy trên GitLab
Nhiều lỗ hổng bị phát hiện tồn tại trong GitLab
Chỉ trong một khoảng thời gian ngắn trở lại đây, các nhà nghiên cứu đến từ nhiều đội ngũ bảo mật đã tìm thấy không ít lỗ hổng tồn tại trong GitLab. Phía nền tảng DevOps phổ biến nhất thế giới cũng đã xác nhận sự tồn tại của những lỗ hổng quan trọng này. Theo tiết lộ, phía GitLab đã giải quyết ổn thỏa 3 lỗ hổng khác nhau trong phần mềm của họ.
Lỗ hổng đầu tiên trong số này có thể cho phép kẻ gian tiếp cận kho lưu trữ tài nguyên nội bộ khi chúng chiếm được quyền truy cập vào bảng điều khiển Grafana thông qua các thông tin xác thực được mã hóa cứng. Lỗ hổng này được phát hiện và báo cáo bởi chuyên gia bảo mật Michael Gernoth, đồng thời được theo dõi với định danh CVE-2019-14943. Nó ảnh hưởng trực tiếp đến GitLab CE/EE phiên bản từ 12.0 trở lên.
Chuyên gia bảo mật Michael Gernoth
Vấn đề thứ hai bắt nguồn từ Gitaly và được theo dõi với định danh CVE-2019-14944. Lỗ hổng này có thể trở thành nguyên nhân làm phát sinh thêm nhiều lỗ hổng thực thi mã từ xa cũng như các lỗ hổng leo thang đặc quyền khác. Nó ảnh hưởng chủ yếu đến GitLab CE/EE phiên bản từ 10.0 trở lên.
Lỗ hổng này được phát hiện và báo cáo bởi chuyên gia bảo mật William Bowling, đồng thời cũng giúp hacker mũ trắng này kiếm được 12.000 tiền thưởng như một phần của chương trình báo cáo lỗ hổng nhận tiền thưởng của HackerOne.
Một vấn đề bảo mật lớn khác, đang được theo dõi với định danh CVE-2019-14942, đã được phát hiện nhắm mục tiêu đến GitLab CE/EE phiên bản 11.5 trở lên. Về lỗ hổng này, GitLab đã mô tả trong một khuyến nghị bảo mật như sau:
“Cookie xác thực trên các GitLab Page với Access Control có thể được gửi qua HTTP và không được mã hóa một cách chính xác, điều này khiến chúng dễ bị tấn công Man-In-The-Middle”.
GitLab đã vá các lỗ hổng bảo mật
Trong sự việc lần này, cần đánh giá cao khả năng phản ứng nhanh nhạy cũng như thái độ nghiêm túc của đội ngũ bảo mật Gitlab. Họ đã vá thành công cả 3 lỗ hổng bảo mật nêu trên trước khi có bất kỳ sự cố đáng tiếc nào xày ra và được ghi nhận. Về bản sửa lỗi cho CVE-2019-14943, GitLab đã xây dựng bản vá này một cách vô cùng tỉ mỉ và chau chuốt:
“Xác thực cơ bản và thông tin quản trị được mã hóa cứng hiện bị tắt theo mặc định trong trường hợp Grafana được tích hợp như một phần của gói GitLab dựa trên Omnibus. Thay đổi này khiến GitLab SSO trở thành phương thức xác thực duy nhất, tạo bản sao lưu dữ liệu hiện có và đặt lại cấu hình Grafana về mặc định của GitLab".
Hiện tại, các phiên bản được vá bao gồm GitLab Community Edition (CE) và Enterprise Edition (EE), lần lượt là 12.1.6, 12.0.6 và 11.11.8. GitLab cũng đã cam kết đăng tải công khai mọi chi tiết về các lỗ hổng trong khoảng một tháng liên tục. Tuy nhiên, người dùng cũng cần phải đảm bảo ngay lập tức cập nhật hệ thống của mình lên các phiên bản đã được vá để không xảy ra những sự cố bảo mật đáng tiếc.
GitLab đã tung ra các bản vá: 12.1.6, 12.0.6 và 11.11.8