GitLab ha lanzado actualizaciones de seguridad para corregir una vulnerabilidad crítica en sus versiones Community Edition (CE) y Enterprise Edition (EE). Esta vulnerabilidad permite la omisión de restricciones de seguridad, lo que puede comprometer la integridad de los sistemas afectados.
Productos afectados:
GitLab Community Edition (CE) y Enterprise Edition (EE)
- Versiones anteriores a 16.11.10
- Versiones anteriores a 17.0.8
- Versiones anteriores a 17.1.8
- Versiones anteriores a 17.2.7
- Versiones anteriores a 17.3.3
Impacto:
La vulnerabilidad se identifica como CVE-2024-45409: Con una puntuación de 10,0 de severidad crítica. La librería Ruby SAML sirve para implementar el lado del cliente de una autorización SAML. Ruby-SAML en <= 12.2 y 1.13.0 <= 1.16.0 no verifica correctamente la firma de la respuesta SAML. Un actor malicioso no autenticado con acceso a cualquier documento SAML firmado (por el IdP) puede falsificar una respuesta/afirmación SAML con contenido arbitrario. Esto le permitiría iniciar sesión como un usuario arbitrario dentro del sistema vulnerable.
Recomendación:
Actualizar a la última versión de los productos de GitLab afectados que resuelven la vulnerabilidad encontrada, desde el sitio web oficial.
Referencia:
https://about.gitlab.com/releases/2024/09/17/patch-release-gitlab-17-3-3-released/