Ngày 18/07/2025, GitLab đã phát hành ba bản cập nhật bảo mật lần lượt là 18.1.2, 18.0.4 và 17.11.6 dành cho cả hai phiên bản Community Edition (CE) và Enterprise Edition (EE). Đây là đợt vá định kỳ, nhưng đồng thời cũng xử lý một số lỗ hổng bảo mật nghiêm trọng, bao gồm cả lỗi XSS và cấp quyền không chính xác trong nhiều thành phần hệ thống.
Mức độ ảnh hưởng và khuyến nghị
GitLab xác nhận các bản vá ảnh hưởng đến tất cả hình thức triển khai, từ cài đặt gói Omnibus, source code đến Helm chart. Vì vậy, nếu bạn đang vận hành hệ thống GitLab self-hosted, hãy ưu tiên cập nhật ngay để tránh rủi ro bị khai thác.
Các máy chủ GitLab.com đã được tự động cập nhật và GitLab Dedicated không yêu cầu hành động từ phía người dùng.
Các vấn đề bảo mật đã được xử lý
| Lỗi bảo mật | Phiên bản ảnh hưởng | CVSS | Mức độ | Báo cáo bởi |
|---|---|---|---|---|
| Cross-site scripting (XSS) | < 17.11.6, < 18.0.4, < 18.1.2 | 8.7 | Cao | yvvdwf |
| Phân quyền sai (CE/EE) | 13.3 đến < 18.1.2 | 4.3 | Trung bình | theluci |
| Phân quyền sai (EE) | < 18.1.2 | 2.7 | Thấp | mateuszek |
| Phân quyền sai (EE) | < 18.1.2 | 2.7 | Thấp | hunter0xp7 |
Các lỗ hổng trên bao gồm khả năng thực thi mã từ trình duyệt thông qua input chưa được kiểm soát, cũng như việc một số người dùng có thể truy cập vào tài nguyên vượt quá quyền hạn được chỉ định. Mặc dù một số lỗi có mức độ nghiêm trọng thấp, việc tích tụ các vấn đề nhỏ này có thể dẫn đến những lỗ hổng nghiêm trọng trong môi trường sản xuất.
Nâng cấp rsync và các thành phần phụ trợ
Trong đợt vá lần này, GitLab cũng nâng cấp công cụ rsync lên phiên bản 3.4.1 nhằm vá hai lỗ hổng bảo mật đã được công bố:
- CVE-2024-12084: Gây tràn bộ nhớ trong quá trình đồng bộ
- CVE-2024-12088: Lỗi thực thi mã từ xa khi xử lý dữ liệu từ client độc hại
Điều này đặc biệt quan trọng đối với những hệ thống có sử dụng rsync cho sao lưu hoặc triển khai CI/CD.
Tóm tắt một số lỗi phần mềm đã được xử lý
Bản 18.1.2
- Sửa lỗi hiển thị thông tin commit sai trong giao diện người dùng.
- Cải tiến luồng tạo Personal Access Token (PAT).
- Nâng cấp
gitlab-exporterđể cải thiện khả năng quan sát hệ thống. - Loại bỏ các bài kiểm thử không ổn định (flaky tests) gây nhiễu kết quả CI.
Bản 18.0.4
- Cập nhật container registry lên phiên bản mới để đồng bộ với GitLab backend.
- Sửa lỗi hiển thị UI liên quan đến tag được bảo vệ.
- Backport nhiều sửa lỗi quan trọng từ nhánh chính.
Bản 17.11.6
- Khắc phục sự không tương thích giữa cache của Rails 6.1 và 7.1.
- Cải tiến logic điều hướng khi nhánh không chứa file.
- Quarantine các test có tần suất thất bại cao.
Hành động đề xuất
- Self-hosted: Tiến hành cập nhật GitLab theo hướng dẫn chính thức để đảm bảo an toàn bảo mật.
- Runner: Nếu bạn sử dụng GitLab Runner trong pipeline CI/CD, hãy tham khảo cách cập nhật tại đây.
- Bảo trì định kỳ: Thiết lập lịch kiểm tra và nâng cấp bảo mật mỗi tháng hai lần, trùng với lịch vá định kỳ của GitLab.
Kết luận
Việc GitLab liên tục vá lỗi bảo mật định kỳ giúp duy trì sự ổn định và an toàn cho hàng triệu dự án mã nguồn trên toàn cầu. Tuy nhiên, trách nhiệm cuối cùng vẫn thuộc về đội ngũ DevSecOps trong việc triển khai và duy trì các bản cập nhật này. Một hệ thống bảo mật mạnh không chỉ đến từ phần mềm, mà còn đến từ quy trình vận hành chuẩn hóa và sự chủ động của người dùng.
