<div dir="ltr">CAIS-Alerta [19-09-2024] Vulnerabilidade no GitLab Community e Enterprise Edition<br>
<br>
Prezados(as),<br>
O CAIS alerta a comunidade de segurança cibernética sobre um conjunto de
vulnerabilidades críticas recentemente divulgadas pela GitLab, que
afetam suas soluções GitLab Community (CE) e Enterprise Edition (EE).
Neste alerta, destacamos o CVE-2024-45409, que recebeu uma pontuação
CVSS de 10.0. Recomendamos fortemente que os administradores dos
ambientes impactados acessem os boletins completos do fornecedor na aba
"Mais informações".<br>
<br>
1) Produtos e versões afetadas;<br>
2) Identificadores CVE (<a href="http://cve.mitre.org" rel="noreferrer" target="_blank">http://cve.mitre.org</a>);<br>
3) Descrição das vulnerabilidades;<br>
4) Mitigação e correções disponíveis; e<br>
5) Mais informações.<br>
<br>
1) Produtos e versões afetadas:<br>
<br>
GitLab CE/EE<br>
<br>
Versões anteriores a 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10<br>
<br>
2) Identificadores CVE (<a href="http://cve.mitre.org" rel="noreferrer" target="_blank">http://cve.mitre.org</a>):<br>
<br>
CVE-2024-45409<br>
<br>
3) Descrição das vulnerabilidades:<br>
<br>
Esta vulnerabilidade foi identificada na biblioteca ruby-saml,
resultante da falha em verificar corretamente a assinatura da resposta
SAML. Um agente malicioso não autenticado, com acesso a qualquer
documento SAML assinado pelo IdP, pode forjar uma Resposta/Afirmação
SAML com conteúdo arbitrário. Isso permitirá que o invasor acesse o
sistema como um usuário arbitrário.<br>
<br>
SAML, que significa Security Assertion Markup Language, é um protocolo
que possibilita o logon único (SSO) e a troca de dados de autenticação e
autorização entre diferentes aplicativos e sites.<br>
<br>
<br>
4) Mitigação e correções disponíveis:<br>
<br>
A GitLab lançou pacotes de atualização nas versões 17.3.3, 17.2.7,
17.1.8, 17.0.8, 16.11.10 para correção da vulnerabilidade, e recomenda
fortemente que os administradores de todas as versões do GitLab CE/EE
atualizem seus ambientes para mitigação do problema.<br>
<br>
5) Mais informações:<br>
<a href="https://about.gitlab.com/releases/2024/09/11/patch-release-gitlab-17-3-2-released/" rel="noreferrer" target="_blank">https://about.gitlab.com/releases/2024/09/11/patch-release-gitlab-17-3-2-released/</a><br>
<a href="https://about.gitlab.com/releases/2024/09/17/patch-release-gitlab-17-3-3-released/" rel="noreferrer" target="_blank">https://about.gitlab.com/releases/2024/09/17/patch-release-gitlab-17-3-3-released/</a><br>
<br>
O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.<br>
<br>
Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!!<br>
Twitter: @caisRNP<br>
Facebook: <a href="http://facebook.com/RedeNacionaldeEnsinoePesquisaRNP" rel="noreferrer" target="_blank">facebook.com/RedeNacionaldeEnsinoePesquisaRNP</a>.<br>
<br>
################################################################<br>
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #<br>
# Rede Nacional de Ensino e Pesquisa (RNP) #<br>
# #<br>
# <a href="mailto:cais@cais.rnp.br" target="_blank">cais@cais.rnp.br</a> <a href="https://www.rnp.br/sistema-rnp/cais" rel="noreferrer" target="_blank">https://www.rnp.br/sistema-rnp/cais</a> #<br>
# Tel. 019-37873300 Fax. 019-37873301 #<br>
# Chave PGP disponível <a href="https://www.rnp.br/cais/cais-pgp.key" rel="noreferrer" target="_blank">https://www.rnp.br/cais/cais-pgp.key</a> #<br>
################################################################<div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>===</div><div>Computer Security Incident Response Team - CSIRT</div><div>Universidade Estadual de Campinas - Unicamp</div><div>Centro de Computacao - CCUEC</div><div>GnuPG Public Key: <a href="http://www.security.unicamp.br/security.asc" target="_blank">http://www.security.unicamp.br/security.asc</a> [^]</div><div>Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830</div></div></div></div></div>