Aviso de seguridad

Nivel de peligrosidad: Crítico

Descripción

La plataforma GitLab emitió parches para mitigar una falla de seguridad crítica en su software que podría permitir la ejecución de código remoto (RCE) en los sistemas afectados. La vulnerabilidad tiene una calificación CVSS de 9.9 y afecta a todas las versiones de GitLab Community Edition (CE) y Enterprise Edition (EE).

En esencia, la falla de seguridad permitiría la ejecución de código remoto a un usuario autenticado a través de la explotación de la API (EndPoint) de "importación" desde GitHub, permitiendo inyectar malware, puertas traseras y tomar el control total del sistema.

Recursos afectados

Todas las versiones de GitLab Community Edition (CE) y Enterprise Edition (EE) a partir de 11.3.4 antes de 15.1.5; 15.2 antes de 15.2.3 y 15.3 antes de 15.3.1.

Solución

Actualice su instancia de GitLab a la versión más reciente:

- 15.1.5

- 15.2.3

- 15.3.1

Contramedida temporal 

Si bien el problema se resolvió en las versiones 15.3.1, 15.2.3, 15.1.5, también es posible protegerse contra la falla al deshabilitar temporalmente la opción de importación de GitHub. Puede seguir estos pasos:

1. Haga clic en "Menú" -> "Administrador"
2. Haga clic en "Configuración" -> "General"
3. Expanda la pestaña "Visibilidad y controles de acceso"
4. En "Importar fuentes", deshabilite la opción "GitHub"
5. Haga clic en "Guardar cambios"

Para verificar que los cambios hayan sido realizados de manera correcta siga estos pasos:

1. Abra el navegador, ingrese a GitLab e inicie sesión como cualquier usuario.
2. Haga clic en "+" en la barra superior.
3. Haga clic en "Nuevo proyecto/repositorio".
4. Haga clic en "Importar proyecto".
5. Verifique que "GitHub" no aparezca como una opción de importación.

Recomendaciones

Actualmente no hay evidencia de que el problema esté siendo explotado activamente. Sin embargo, se recomienda actualizar a la última versión lo antes posible.

Referencias

Actualización de seguridad de GitLab