GitLab alerta sobre falha crítica
11 de Outubro de 2024

A GitLab lançou atualizações de segurança para corrigir múltiplas falhas nas edições Community Edition (CE) e Enterprise Edition (EE), incluindo uma falha crítica de execução de pipeline em branch arbitrária.

A vulnerabilidade, identificada como CVE-2024-9164, permite que usuários não autorizados acionem pipelines de Continuous Integration/Continuous Delivery (CI/CD) em qualquer branch de um repositório.

Pipelines de CI/CD são processos automatizados que realizam tarefas como construção, teste e implantação de código, normalmente disponíveis apenas para usuários com permissões apropriadas.

Um atacante capaz de contornar proteções de branch pode potencialmente executar código ou acessar informações sensíveis.

O problema, que recebeu uma classificação CVSS v3.1 de 9.6, classificando-o como crítico, afeta todas as versões do GitLab EE a partir da 12.5 até a 17.2.8, da 17.3 até a 17.3.4, e da 17.4 até a 17.4.1.

Correções estão disponíveis nas versões 17.4.2, 17.3.5 e 17.2.9, que são os alvos de atualização para os usuários do GitLab.

"Recomendamos fortemente que todas as instalações que estejam rodando uma versão afetada pelos problemas descritos abaixo sejam atualizadas para a versão mais recente o quanto antes", alerta o boletim de segurança do GitLab.

É esclarecido que clientes do GitLab Dedicated não precisam tomar nenhuma ação, pois suas instâncias hospedadas na nuvem sempre executam a versão mais recente disponível.

Além do CVE-2024-9164, os últimos lançamentos do GitLab abordam as seguintes questões de segurança:

- CVE-2024-8970: Falha de gravidade alta que permite a um atacante se passar por outro usuário e acionar pipelines.
- CVE-2024-8977 : Falha de SSRF de alta gravidade no Painel de Análises, tornando as instâncias vulneráveis a ataques de SSRF.
- CVE-2024-9631: Falha de alta gravidade que causa lentidão ao visualizar diffs de solicitações de merge com conflitos.
- CVE-2024-6530 : Vulnerabilidade de injeção de HTML de alta gravidade na página OAuth permitindo cross-site scripting durante a autorização OAuth.
- CVE-2024-9623 , CVE-2024-5005, CVE-2024-9596 : Falhas de gravidade baixa a média, incluindo a possibilidade de enviar chaves para repositórios arquivados, usuários convidados divulgando modelos de projeto via API, e divulgação da versão da instância do GitLab para usuários não autorizados.

As pipelines do GitLab têm se mostrado uma fonte constante de vulnerabilidades de segurança para a plataforma e seus usuários.

A GitLab corrigiu vulnerabilidades de execução de pipeline arbitrário várias vezes este ano, incluindo o CVE-2024-6678 no mês passado, o CVE-2024-6385 em julho e o CVE-2024-5655 em junho, todos classificados como críticos.

Para instruções, código-fonte e pacotes, confira o portal oficial de downloads da GitLab.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...