Recentemente, o GitLab corrigiu uma vulnerabilidade crítica de execução de pipeline através de atualizações críticas.
O GitLab lançou atualizações críticas para lidar com várias vulnerabilidades, a mais grave delas (CVE-2024-6678) permitindo que um invasor acione pipelines como usuários arbitrários sob certas condições.
GitLab corrigiu uma vulnerabilidade crítica de execução de pipeline
Sim. O GitLab corrigiu uma vulnerabilidade crítica de execução de pipeline. O lançamento é para as versões 17.3.2, 17.2.5 e 17.1.7 para GitLab Community Edition (CE) e Enterprise Edition (EE), e corrige um total de 18 problemas de segurança como parte das atualizações de segurança bimestrais (programadas).
Com uma pontuação de gravidade crítica de 9,9, a vulnerabilidade CVE-2024-6678 pode permitir que um invasor execute ações de parada de ambiente como o proprietário do trabalho de ação de parada.
A gravidade da falha vem de seu potencial para exploração remota, falta de interação do usuário e os privilégios baixos necessários para explorá-la.
O GitLab alerta que o problema afeta as versões CE/EE de 8.14 até 17.1.7, versões de 17.2 anteriores a 17.2.5 e versões de 17.3 anteriores a 17.3.2.
Recomendamos fortemente que todas as instalações que executam uma versão afetada pelos problemas descritos abaixo sejam atualizadas para a versão mais recente o mais rápido possível. – GitLab
Os pipelines do GitLab são fluxos de trabalho automatizados usados para construir, testar e implantar código, parte do sistema CI/CD (Integração Contínua/Entrega Contínua) do GitLab.
Eles são projetados para agilizar o processo de desenvolvimento de software automatizando tarefas repetitivas e garantindo que as alterações na base de código sejam testadas e implantadas de forma consistente.
O GitLab abordou vulnerabilidades de execução arbitrária de pipeline várias vezes nos últimos meses, incluindo em julho de 2024, para corrigir CVE-2024-6385, em junho de 2024, para corrigir CVE-2024-5655 e em setembro de 2023 para corrigir CVE-2023-5009, todos classificados como críticos.
O boletim também lista quatro problemas de alta gravidade com pontuações entre 6,7 e 8,5, que podem permitir que invasores interrompam serviços, executem comandos não autorizados ou comprometam recursos confidenciais. Os problemas são resumidos da seguinte forma:
- CVE-2024-8640 : Devido à filtragem de entrada inadequada, os invasores podem injetar comandos em um servidor Cube conectado por meio da configuração YAML, comprometendo potencialmente a integridade dos dados. Impacta o GitLab EE a partir de 16.11.
- CVE-2024-8635 : Os invasores podem explorar uma vulnerabilidade de Server-Side Request Forgery (SSRF) criando uma URL personalizada do Maven Dependency Proxy para fazer solicitações a recursos internos, comprometendo a infraestrutura interna. Afeta o GitLab EE a partir da versão 16.8.
- CVE-2024-8124 : Os invasores podem disparar um ataque DoS enviando um grande parâmetro ‘glm_source’, sobrecarregando o sistema e tornando-o indisponível. Impacta o GitLab CE/EE a partir da versão 16.4.
- CVE-2024-8641 : Os invasores podem explorar um CI_JOB_TOKEN para obter acesso ao token de sessão do GitLab de uma vítima, permitindo que eles sequestrem uma sessão. Afeta o GitLab CE/EE a partir da versão 13.7.
Para obter instruções de atualização, código-fonte e pacotes, confira o portal oficial de download do GitLab. Os pacotes mais recentes do GitLab Runner estão disponíveis aqui.