[22/09/2023] Gitlab ha lanzado dos versiones parcheadas, 16.2.7 y 16.3.4 para las ediciones Enterprise (EE) y Community (CE) de la plataforma DevOps en respuesta a una falla de gravedad crítica descubierto a través de su programa de recompensas por fallas HackerOne.
Denominada CVE_2023-5009, con una puntuación CVSS de 9,6, la vulnerabilidad permite a un atacante hacerse pasar por un usuario arbitrario para ejecutar canalizaciones a través de políticas de análisis programadas.
"Se ha descubierto un problema en GitLab EE que afecta a todas las versiones a partir de la 13.12 antes de la 16.2.7 y a todas las versiones a partir de la 16.3 antes de la 16.3.4", señaló Gitlab en un comunicado. "Recomendamos encarecidamente que todas las instalaciones que ejecuten una versión afectada por estos problemas se actualicen a la última versión lo antes posible".
La falla es una derivación de otro bug de julio, rastreado bajo CVE-2023-3932, que permitía actividades similares a los atacantes.
La vulnerabilidad aprovecha las políticas de análisis de seguridad programadas
Según Gitlab, era posible que un atacante ejecutara pipelines como un usuario arbitrario a través de políticas de análisis de seguridad programadas. Un pipeline en Gitlab es una serie de pasos o trabajos automatizados que se ejecutan cada vez que se envían cambios a un repositorio Git.
La vulnerabilidad podría desencadenarse a través de la política de ejecución de escaneos en función de quién realizó el último commit en el archivo policy.yml. El pipeline se dispara a través de un commit por un atacante que utiliza un nombre de usuario víctima para empujar cambios a policy.yml como víctima.
Como autor del pipeline activado, el atacante tiene acceso a todos los repositorios y códigos privados de la víctima. Todo esto se hace sin ninguna interacción del usuario, y el único requisito previo es el nombre de usuario de Gitlab de la víctima y los nombres de los proyectos internos o sólo para miembros con códigos.
El desencadenante tiene necesidades de configuración
Las instancias que ejecutan versiones a partir de la 13.12 antes de la 16.2.7, y todas las versiones a partir de la 16.3 antes de la 16.3.4 son vulnerables dado que dos características están habilitadas al mismo tiempo en la plataforma DevOps - Transferencias directas y Políticas de seguridad, según Gitlab.
"Para mitigar esta vulnerabilidad en situaciones en las que no es posible actualizar, es necesario deshabilitar una o ambas características", ha añadido Gitlab.
Gitlab ha aconsejado a los usuarios que actualicen rápidamente a las versiones de seguridad 16.3.4 y 16.2.7, que también incluyen algunos parches no relacionados con la seguridad. GitLab.com ya está ejecutando la versión parcheada, añadió la empresa.
Basado en el artículo de Shweta Sharma (CSO) y editado por CIO Perú