Enviado por ruruchi el Vie, 16/04/2021 - 12:11

 

El Centro de Gestión de Incidentes Informáticos comunica que GitLab ha publicado actualizaciones de seguridad para vulnerabilidades críticas encontradas en GitLab Community Edition (Edición Comunitaria) y Entreprise Edition (Edición Empresarial)

Descripción

Se liberaron las actualizaciones 13.10.3, 13.9.6, y 13.8.8 para GitLab Community Edition (CE) y Enterprise Edition (EE), que corrige una vulnerabilidad crítica en GitLab CE/EE que afecta a todas las versiones desde la 11.9.

GitLab no estaba validando correctamente archivos de imagen que son enviadas a un analizador de archivos, que resultó en la ejecución remota de comandos. Esta es una falla severamente crítica (AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H, 9.9), Identificador CVE pendiente de asignación.

Versiones afectadas

  • Todas las versiones de GitLab desde la 11.9

Solución

Actualizar GitLab CE/EE a la última versión.

Además se debe actualizar la dependencia de ruby Rexml a la versión 3.2.5, que contiene una actualización de seguridad crítica.

Recomendaciones

Se recomienda encarecidamente actualizar tan pronto como sea posible, con el fin de evitar la exposición a ataques externos.

Siga las recomendaciones de actualización en la página de actualizaciones de GitLab.

Referencias

https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/

https://www.ruby-lang.org/en/news/2021/04/05/xml-round-trip-vulnerability-in-rexml-cve-2021-28965/

https://about.gitlab.com/releases/categories/releases/

https://about.gitlab.com/security/faq/

https://gitlab.com/gitlab-org/gitlab/issues?label_name%5B%5D=security&scope=all&state=opened