[SECURITY-L] [RNP/CAIS Alerta #0159] Vulnerabilidade no GitLab Community e Enterprise Edition

CSIRT Unicamp security em unicamp.br
Quinta Setembro 19 16:47:29 -03 2024 

CAIS-Alerta [19-09-2024] Vulnerabilidade no GitLab Community e Enterprise
Edition

Prezados(as),
O CAIS alerta a comunidade de segurança cibernética sobre um conjunto de
vulnerabilidades críticas recentemente divulgadas pela GitLab, que afetam
suas soluções GitLab Community (CE) e Enterprise Edition (EE). Neste
alerta, destacamos o CVE-2024-45409, que recebeu uma pontuação CVSS de
10.0. Recomendamos fortemente que os administradores dos ambientes
impactados acessem os boletins completos do fornecedor na aba "Mais
informações".

1) Produtos e versões afetadas;
2) Identificadores CVE (http://cve.mitre.org);
3) Descrição das vulnerabilidades;
4) Mitigação e correções disponíveis; e
5) Mais informações.

1) Produtos e versões afetadas:

GitLab CE/EE

Versões anteriores a 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10

2) Identificadores CVE (http://cve.mitre.org):

CVE-2024-45409

3) Descrição das vulnerabilidades:

Esta vulnerabilidade foi identificada na biblioteca ruby-saml, resultante
da falha em verificar corretamente a assinatura da resposta SAML. Um agente
malicioso não autenticado, com acesso a qualquer documento SAML assinado
pelo IdP, pode forjar uma Resposta/Afirmação SAML com conteúdo arbitrário.
Isso permitirá que o invasor acesse o sistema como um usuário arbitrário.

SAML, que significa Security Assertion Markup Language, é um protocolo que
possibilita o logon único (SSO) e a troca de dados de autenticação e
autorização entre diferentes aplicativos e sites.


4) Mitigação e correções disponíveis:

A GitLab lançou pacotes de atualização nas versões 17.3.3, 17.2.7, 17.1.8,
17.0.8, 16.11.10 para correção da vulnerabilidade, e recomenda fortemente
que os administradores de todas as versões do GitLab CE/EE atualizem seus
ambientes para mitigação do problema.

5) Mais informações:
https://about.gitlab.com/releases/2024/09/11/patch-release-gitlab-17-3-2-released/
https://about.gitlab.com/releases/2024/09/17/patch-release-gitlab-17-3-3-released/

O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhados pelas redes sociais da
RNP. Siga-nos!!
Twitter: @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       https://www.rnp.br/sistema-rnp/cais   #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponível   https://www.rnp.br/cais/cais-pgp.key  #
################################################################
===
Computer Security Incident Response Team - CSIRT
Universidade Estadual de Campinas - Unicamp
Centro de Computacao - CCUEC
GnuPG Public Key: http://www.security.unicamp.br/security.asc [^]
Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://www.listas.unicamp.br/pipermail/security-l/attachments/20240919/a204ef7e/attachment.html>

Mais detalhes sobre a lista de discussão SECURITY-L