GitLab insta a los usuarios a instalar una actualización de seguridad para las sucursales 15.1, 15.2 y 15.3 de sus ediciones comunitaria y empresarial para corregir una vulnerabilidad crítica que podría permitir a un atacante realizar la ejecución remota de comandos a través de la importación de Github.
GitLab es un repositorio de Git basado en la web para equipos de desarrolladores que necesitan administrar su código de forma remota. Tiene aproximadamente 30 millones de usuarios registrados y un millón de clientes de pago.
La vulnerabilidad abordada por esta actualización de seguridad se rastrea como CVE-2022-2884 y se le asigna un puntaje de criticidad CVSS v3 de 9.9. Afecta a todas las versiones a partir de la 11.3.4 y hasta la 15.1.4, las comprendidas entre la 15.2 y la 15.2.3 y la 15.3.
Además, GitLab subraya que el tipo de implementación (ómnibus, código fuente, gráfico de timón, etc.) no hace la diferencia, ya que todos se ven afectados.
La ejecución remota de comandos es un tipo potente de falla, que permite a los atacantes remotos ejecutar código malicioso en la máquina de destino, inyectar malware y puertas traseras, o tomar el control completo del punto final vulnerable.
Usando esta vulnerabilidad, un actor de amenazas podría tomar el control del servidor, robar o eliminar el código fuente, realizar confirmaciones maliciosas y más.
Las últimas versiones de GitLab que solucionan el problema son 15.3.1, 15.2.3 y 15.1.5, a las que se recomienda a los usuarios que actualicen de inmediato.
«Recomendamos encarecidamente que todas las instalaciones que ejecuten una versión afectada por los problemas que se describen a continuación se actualicen a la última versión lo antes posible», menciona el anuncio de lanzamiento de GitLab .
Solución alterna
Si no es posible instalar las actualizaciones de seguridad por cualquier motivo, GitLab recomienda aplicar una solución alternativa que consiste en deshabilitar la importación de GitHub, una herramienta utilizada para importar proyectos de software completos de GitHub a GitLab.
Para aplicar la solución alternativa, siga estos pasos:
- Inicie sesión con una cuenta de administrador en su instalación de GitLab
- Haga clic en «Menú» -> «Administrador»
- Haga clic en «Configuración» -> «General»
- Expanda la pestaña «Visibilidad y controles de acceso»
- En «Importar fuentes», deshabilite la opción «GitHub»
- Haga clic en «Guardar cambios»
Para verificar que la solución alternativa se ha implementado correctamente, siga estos pasos:
- En una ventana del navegador, inicie sesión como cualquier usuario.
- Haga clic en «+» en la barra superior.
- Haz clic en «Nuevo proyecto/repositorio».
- Haga clic en «Importar proyecto».
- Verifica que «GitHub» no aparezca como opción de importación
Para obtener instrucciones sobre cómo actualizar su instalación de GitLab, consulte el portal de actualización oficial del proyecto .
Por lo general, las fallas poderosas ingresan al estado de explotación activa unos días después de que se divulgan mediante el lanzamiento de actualizaciones de seguridad. Por lo tanto, se recomienda encarecidamente aplicar las actualizaciones o mitigaciones recomendadas lo antes posible.
Fuente: https://www.bleepingcomputer.com
