GitLab tiene liberado Actualizaciones de seguridad críticas para abordar múltiples vulnerabilidades, incluida una falla de alta gravedad que podría permitir a los atacantes ejecutar trabajos de canalización como usuarios arbitrarios.
La empresa recomienda encarecidamente que todas las instalaciones de GitLab se actualicen inmediatamente a las últimas versiones: 17.1.2, 17.0.4 o 16.11.6 tanto para Community Edition (CE) como para Enterprise Edition (EE).
La vulnerabilidad más crítica (CVE-2024-6385) afecta a las versiones 15.8 a 17.1.1 de GitLab. Con una puntuación CVSS de 9,6, esta falla podría permitir a un atacante activar una canalización como otro usuario en determinadas circunstancias. El problema fue informado a través del programa de recompensas por errores HackerOne de GitLab por un usuario conocido como yvvdwf.
Además de la falla crítica, GitLab abordó varios otros problemas de seguridad:
- Una vulnerabilidad de gravedad media (CVE-2024-5257) permitir a los desarrolladores con permiso admin_compliance_framework cambiar las URL del grupo.
- Un problema de baja gravedad (CVE-2024-5470) donde los usuarios con permiso admin_push_rules podrían crear tokens de implementación a nivel de proyecto.
- Una vulnerabilidad en el registro de paquetes (CVE-2024-6595) relacionado con la confusión manifiesta en los paquetes de NPM.
- Una falla de baja gravedad (CVE-2024-2880) permitir a los usuarios con permiso admin_group_member banear miembros del grupo.
- Una vulnerabilidad de toma de control de subdominio (CVE-2024-5528) en páginas de GitLab.
GitLab.com y GitLab Dedicated ya están ejecutando las versiones parcheadas. La empresa enfatiza la importancia de mantener una buena higiene de seguridad y recomienda que todos los clientes actualicen a la última versión del parche para su versión compatible.
Estas correcciones de seguridad forman parte del ciclo de lanzamiento programado de GitLab, que incluye lanzamientos de parches dos veces al mes, el segundo y cuarto miércoles. Para vulnerabilidades de alta gravedad, GitLab también publica parches críticos ad hoc.
La empresa afirma que los problemas que detallan cada vulnerabilidad se harán públicos en su rastreador de problemas 30 días después del lanzamiento en el que se aplicaron los parches. Este enfoque permite a los usuarios tener tiempo para actualizar antes de que los posibles detalles de la vulnerabilidad se hagan ampliamente conocidos.
Además de las correcciones de seguridad, las últimas versiones incluyen varias correcciones de errores y mejoras en diferentes componentes de GitLab, como Git, MailRoom, pipelines CI/CD e integración con Redis.
Ray Kelly, miembro de la Grupo de integridad del software Synopsysdicho:
«En el acelerado mundo de DevSecOps de hoy, cualquier mención de una vulnerabilidad en la funcionalidad de un pipeline puede poner los pelos de punta. Una vez que un pipeline se ve comprometido, el software puede ser alterado con malware, puertas traseras o utilizado para robar información privada de las organizaciones.
Esto es difícil de detectar porque los análisis de seguridad suelen realizarse en una etapa anterior del proceso SDLC. En vista de las recientes violaciones de alto perfil en la cadena de suministro, está claro que las organizaciones necesitan reparar las vulnerabilidades de inmediato para evitar que los actores de amenazas pongan en peligro su software.
Además, la introducción de un análisis de seguridad dentro del proceso de fabricación puede ayudar a detectar problemas antes de que se implementen”.
Como siempre, se recomienda a los usuarios seguir las mejores prácticas para proteger sus instancias de GitLab y actualizarlas lo antes posible para mitigar posibles riesgos.
(Foto por Marcar jefe)
Ver también: Juez desestima mayoría de reclamos de derechos de autor de GitHub Copilot
¿Quieres aprender más sobre ciberseguridad y la nube de la mano de líderes de la industria? Verificar Exposición de ciberseguridad y la nube El evento, que se llevará a cabo en Ámsterdam (California) y Londres, se llevará a cabo junto con otros eventos importantes, entre ellos Bloque X, Semana de la Transformación Digital, Exposición de tecnología IoT y Exposición de IA y Big Data.
Explore otros próximos eventos y seminarios web sobre tecnología empresarial impulsados por TechForge aquí.
