1. Avisos de seguridad
  2. Actualizaciones de seguridad críticas en GitLab: múltiples vulnerabilidades mitigadas
Fecha de publicación: Vie, 15/11/2024 - 12:10

Aviso de seguridad

Nivel de peligrosidad: Alto

Descripción

GitLab ha lanzado actualizaciones críticas (17.5.2, 17.4.4 y 17.3.7) para GitLab Community Edition (CE) y Enterprise Edition (EE) con el objetivo de mitigar múltiples vulnerabilidades, incluidas de alta severidad. Entre las vulnerabilidades corregidas se encuentran las siguientes:

  • CVE-2024-9693 (Criticidad 8.5): Permite acceso no autorizado al agente de Kubernetes en ciertas configuraciones específicas.
  • CVE-2024-7404 (Criticidad 6.8): Una vulnerabilidad en el flujo OAuth de dispositivos que podría permitir a un atacante obtener acceso completo a la API como si fuera la víctima.
  • CVE-2024-XXXX (Criticidad 6.5): Vulnerabilidad de denegación de servicio mediante el importador de FogBugz al procesar contenido malicioso. (Número aún no asignado.)
  • CVE-2024-8648 (Criticidad 6.1): Vulnerabilidad XSS almacenada en paneles de Analytics mediante URLs de JavaScript maliciosas.
  • CVE-2024-8180 (Criticidad 5.4): Inyección HTML que permite ataques XSS en instancias autogestionadas sin la Política de Seguridad de Contenidos (CSP) habilitada.
  • CVE-2024-10240 (Criticidad 5.3): Divulgación de información en proyectos privados mediante un endpoint de la API.

Se recomienda encarecidamente a las organizaciones con instancias autogestionadas actualizar a las versiones parcheadas de inmediato para prevenir posibles ataques y reforzar sus configuraciones de seguridad.

Recursos afectados

GitLab CE/EE, versiones afectadas:

  • Desde la 16.0 hasta la 17.3.6.
  • Desde la 17.4 hasta la 17.4.3.
  • Desde la 17.5 hasta la 17.5.1.

Solución

  • Actualizar GitLab a las versiones parcheadas:
    • 17.5.2
    • 17.4.4
    • 17.3.7
  • Verificar y reforzar configuraciones relacionadas con el agente de Kubernetes y OAuth.

Recomendaciones

  • Realizar la actualización de inmediato para mitigar las vulnerabilidades.
  • Revisar las configuraciones de seguridad en Kubernetes y OAuth.
  • Implementar las prácticas recomendadas en la documentación oficial de GitLab.
  • Monitorear el tráfico de red y registros para detectar posibles accesos no autorizados.

Referencias