E o GitLab lançou atualizações de segurança para uma falha crítica. Confira os detalhes dessa correção e da ameaça.
GitLab é uma popular plataforma de gerenciamento de projetos e rastreamento de trabalho de software de código aberto baseada na web, que oferece uma versão comercial e gratuita.
Agora, o GitLab lançou atualizações de segurança para resolver uma vulnerabilidade de gravidade crítica que permite que invasores executem pipelines como outros usuários por meio de políticas de verificação de segurança agendadas.
GitLab lançou atualizações de segurança para uma falha crítica
Sim. O GitLab lançou atualizações de segurança para falhas críticas. A falha foi atribuída CVE-2023-4998 (pontuação CVSS v3.1: 9,6) e afeta o GitLab Community Edition (CE) e Enterprise Edition (EE) versões 13.12 a 16.2.7 e versões 16.3 a 16.3.4.
O problema foi descoberto pelo pesquisador de segurança e caçador de bugs Johan Carlsson, que o GitLab disse ser um desvio de um problema de gravidade média rastreado como CVE-2023-3932 que foi corrigido em agosto.
O pesquisador descobriu uma forma de superar as proteções implementadas e demonstrou um impacto adicional que elevou a classificação de gravidade da falha para gravidade crítica.
Personificar usuários sem seu conhecimento ou permissão para executar tarefas de pipeline (uma série de tarefas automatizadas) pode fazer com que os invasores acessem informações confidenciais ou abusem das permissões do usuário personificado para executar código, modificar dados ou acionar eventos específicos no sistema GitLab.
Considerando que o GitLab é usado para gerenciar código, tal comprometimento pode resultar em perda de propriedade intelectual, vazamentos de dados prejudiciais, ataques à cadeia de suprimentos e outros cenários de alto risco.
O boletim do GitLab destaca a gravidade da vulnerabilidade, incentivando os usuários a aplicarem imediatamente as atualizações de segurança disponíveis.
“Recomendamos fortemente que todas as instalações que executam uma versão afetada pelos problemas descritos abaixo sejam atualizadas para a versão mais recente o mais rápido possível.” – GitLab.
As versões que resolvem CVE-2023-4998 são GitLab Community Edition e Enterprise Edition 16.3.4 e 16.2.7.
Para usuários de versões anteriores à 16.2, que não receberam correções para o problema de segurança, a mitigação proposta é evitar que as “Transferências diretas” e as “Políticas de segurança” estejam ativadas.
Se ambos os recursos estiverem ativos, a instância fica vulnerável, alerta o boletim, por isso os usuários são aconselhados a ativá-los um de cada vez.
Os usuários podem atualizar o GitLab aqui ou obter pacotes do GitLab Runner nesta página oficial.