(https://i.postimg.cc/SKzw0GKY/GitLab.png) (https://postimages.org/)
Una vulnerabilidad crítica (bug) está afectando a ciertas versiones de los productos GitLab Community y Enterprise Edition, que podrían explotarse para ejecutar canalizaciones (pipelines) como cualquier usuario.
GitLab es una popular plataforma de seguimiento del trabajo y gestión de proyectos de software de código abierto basada en la web. Tiene aproximadamente un millón de usuarios de licencias activas.
El problema de seguridad abordado en la última actualización se rastrea como CVE-2024-5655 y tiene una puntuación de gravedad de 9,6 sobre 10. En determinadas circunstancias, que el proveedor no definió, un atacante podría aprovecharlo para activar una canalización como otro usuario.
Las canalizaciones de GitLab son una característica del sistema de integración continua/implementación continua (CI/CD) que permite a los usuarios ejecutar automáticamente procesos y tareas, ya sea en paralelo o en secuencia, para crear, probar o implementar cambios de código.
La vulnerabilidad afecta a todas las versiones de GitLab CE/EE desde 15.8 hasta 16.11.4, 17.0.0 a 17.0.2 y 17.1.0 a 17.1.0.
"Recomendamos encarecidamente que todas las instalaciones que ejecutan una versión afectada por los problemas descritos a continuación se actualicen a la última versión lo antes posible" - GitLab
GitLab abordó la vulnerabilidad lanzando las versiones 17.1.1, 17.0.3 y 16.11.5 y recomienda a los usuarios aplicar las actualizaciones lo antes posible.
El proveedor también informa que la actualización a las últimas versiones viene con dos cambios importantes que los usuarios deben tener en cuenta:
Las canalizaciones ya no se ejecutarán automáticamente cuando se redireccione una solicitud de fusión después de fusionar su rama de destino anterior. Los usuarios deben iniciar manualmente la canalización para ejecutar CI para sus cambios.
CI_JOB_TOKEN ahora está deshabilitado de forma predeterminada para la autenticación GraphQL a partir de la versión 17.0.0, y este cambio se trasladó a las versiones 17.0.3 y 16.11.5. Para acceder a la API GraphQL, los usuarios deben configurar uno de los tipos de token admitidos para la autenticación.
La última actualización de GitLab también introduce correcciones de seguridad para otros 13 problemas, y la gravedad de tres de ellos se calificó como "alta" ( puntuación CVSS v3.1: 7,5 – 8,7 ). Estos tres se resumen a continuación:
CVE-2024-4901: Vulnerabilidad XSS almacenada que permite que notas de confirmación maliciosas de proyectos importados inyecten scripts, lo que podría provocar acciones no autorizadas y exposición de datos.
CVE-2024-4994: una vulnerabilidad CSRF en la API GraphQL que permite a los atacantes ejecutar mutaciones arbitrarias de GraphQL engañando a los usuarios autenticados para que realicen solicitudes no deseadas, lo que podría provocar manipulación de datos y operaciones no autorizadas.
CVE-2024-6323: Fallo de autorización en la función de búsqueda global de GitLab que permite a los atacantes ver resultados de búsqueda desde repositorios privados dentro de proyectos públicos, lo que podría provocar fugas de información y acceso no autorizado a datos confidenciales.
Los recursos para las actualizaciones de GitLab están disponibles:
https://about.gitlab.com/update/
mientras que las pautas de GitLab Runner se pueden encontrar a continuación:
https://docs.gitlab.com/runner/install/linux-repository.html#updating-the-runner
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/critical-gitlab-bug-lets-attackers-run-pipelines-as-any-user/