GitLab corrige múltiples vulnerabilidades encontradas por investigadores – Ecoticias

Recientemente, los investigadores han informado de varias vulnerabilidades en la popular plataforma DevOps “GitLab”. La empresa confirmó la existencia de estos defectos críticos. La compañía también reveló que hay tres vulnerabilidades diferentes en su software.

¿Cuáles son estas vulnerabilidades?

Michael Gernoth informó el primero de estos y fue nombrado CVE ID CVE-2019-14943. Esto permite a los piratas informáticos ver sus recursos internos cuando acceden al panel de Grafana utilizando credenciales incrustadas en el código. Esta vulnerabilidad afecta a las versiones 12.0 y posteriores de GitLab CE / EE.

GitLab corrige múltiples vulnerabilidades encontradas por investigadores
GitLab corrige múltiples vulnerabilidades encontradas por investigadores

El segundo problema es importante y se debe a “Desinfección inadecuada de parámetros en Gitaly”. Esta vulnerabilidad se denominó CVE-2019-14944 y podría dar lugar a varias vulnerabilidades de ejecución remota de código y escalada de privilegios. Esta falla afecta a las versiones 10.0 y posteriores de GitLab CE / EE. La compañía atribuyó este fracaso a William Bowling, quien ganó una recompensa de $ 12,000, como podemos ver en su cuenta de HackerOne.

El último error, asignado CVE-2019-14942, afecta a las versiones 11.5 y posteriores de GitLab CE / EE. Por lo general, las personas envían cookies de autenticación en las páginas de GitLab con control de acceso HTTP. Como no estaban encriptados correctamente, esto los hacía vulnerables a los piratas informáticos que usaban ataques Man-In-The-Middle.

¿Están solucionadas estas vulnerabilidades de seguridad?

GitLab anunció que solucionó estas vulnerabilidades de seguridad antes de que alguien pudiera explotar estas fallas. También publicaron que el software corregido incluye GitLab Community Edition (CE) y Enterprise Edition (EE) versiones 11.11.8, 12.0.6 y 12.1.6, respectivamente. La compañía también admitió que divulgaría públicamente esta vulnerabilidad en público y en detalle tan pronto como corrigieran la falla. Sin embargo, los usuarios deben asegurarse de actualizar el software de inmediato; de lo contrario, estarían expuestos a ataques.