GitLab ha lanzado actualizaciones de seguridad que subsanan múltiples vulnerabilidades en sus productos GitLab CE/EE y GitLab Omnibus, que permitirían a un atacante filtrar credenciales, ejecución remota de código (RCE), provocar una denegación de servicio (DoS), entre otros.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Crítica”, 5 (cinco) de severidad “Media” y 1 (una) de severidad “Baja”. Estas son, CVE-2022-0735, CVE-2022-0549, CVE-2022-0751, CVE-2022-0741, CVE-2021-4191, CVE-2022-0738 y CVE-2022-0489 Las principales se detallan a continuación:
- CVE-2022-0735 de severidad crítica, con una puntuación de 9.6. Esta vulnerabilidad se debe a la divulgación de información utilizando comandos de acciones rápidas. Un atacante remoto no autenticado podría aprovechar esta vulnerabilidad para robar tokens de registro de corredores y así una posible divulgación de información sensible en el dispositivo afectado.
- CVE-2022-0751 de severidad media, con una puntuación de 6.5. Esta vulnerabilidad se debe a la visualización imprecisa de archivos Snippet que contienen caracteres especiales. Esto permitiría a un atacante crear Snippets con contenido engañoso, que podría conducir a usuarios desprevenidos a ejecutar comandos arbitrarios, logrando así la ejecución remota de código (RCE).
Nota: GitLab argumenta que la corrección modifica su API GraphQL agregando el complemento hasUnretrievableBlobs al tipo de campo SnippetBlobConnection, indicando si el fragmento de código tiene blobs que no se pueden recuperar. Por ende, tener en cuenta la implementación de este cambio, si es que utiliza implementaciones de varias versiones. GitLab recomienda a los usuarios que incluyan esta revisión en todas las instancias de servidor implementadas.
- CVE-2022-0741 de severidad media, con una puntuación de 5.8. Esta vulnerabilidad se debe a la validación de entrada incorrecta utilizando sendmail para enviar correos electrónicos. Un atacante remoto no autenticado podría aprovechar esta vulnerabilidad para robar variables de entorno a través de direcciones de correo electrónico, diseñadas especialmente para obtener información potencialmente sensible del usuario afectado.
- CVE-2021-4191 de severidad media, con una puntuación de 5.8. Esta vulnerabilidad se debe La vulnerabilidad es el resultado de una comprobación de autenticación faltante al ejecutar ciertas consultas de la API de GitLab GraphQL. Un atacante remoto no autenticado podría aprovechar esta vulnerabilidad para recopilar nombres, nombres de usuario y direcciones de correo electrónico registrados en GitLab.
Los productos de GitLab afectados son:
- GitLab CE/EE (Community y Enterprise Edition), todas las versiones desde 12.10 a 14.6.4, desde 14.7 a 14.7.3, y desdm 14.8 a 14.8.1.
- GitLab Omnibus, versiones anteriores a 14.8.
Recomendamos instalar las actualizaciones correspondientes provistas por GitLab en los siguientes enlaces:
GitLab CE/EE (Community y Enterprise Edition, versiones 14.8.2, 14.7.4, y14.6.5):
GitLab Omnibus (versión 14.8):
Adicionalmente, GitLab ha publicado parches que se pueden aplicar para mitigar la divulgación del token de registro de Runner a través de la vulnerabilidad Quick Actions, mediante el siguiente enlace:
Referencias:
- https://about.gitlab.com/releases/2022/02/25/critical-security-release-gitlab-14-8-2-released/#runner-registration-token-disclosure-through-quick-actions
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-gitlab
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0735
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0751
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0741
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-4192