Actualizaciones para vulnerabilidades altas en GitLab (CE/EE)

GitLab ha identificado y corregido vulnerabilidades altas en sus ediciones Community (CE) y Enterprise (EE) que afectan múltiples versiones. Estas fallas podrían exponer a las implementaciones de GitLab a riesgos de seguridad significativos, como la exfiltración de datos de sesión y ataques de denegación de servicio (DoS).

• CVE-2024-11274 (CVSS 8.7): Esta vulnerabilidad permite la inyección de encabezados de registro de errores de red (NEL) en las respuestas del proxy de Kubernetes. Esto podría ser explotado para capturar datos sensibles de la sesión y potencialmente obtener acceso no autorizado a las cuentas.

• CVE-2024-8233 (CVSS 7.5): Un atacante no autenticado puede aprovechar esta vulnerabilidad para enviar múltiples solicitudes de archivos diff en una confirmación o solicitud de fusión, lo que provoca un consumo excesivo de recursos del sistema. Esto podría resultar en una denegación de servicio, impactando la disponibilidad de la instancia de GitLab afectada.

CVE	Producto Afectado	Versión Afectada	Solución
CVE-2024-11274	GitLab Community Edition (CE) y Enterprise Edition (EE).	Versiones desde 16.1 hasta antes de 17.4.6.	Actualizar a la versión 17.4.6 o posterior.
		Versiones desde 17.5 hasta antes de 17.5.4.	Actualizar a la versión 17.5.4 o posterior.
		Versiones desde 17.6 hasta antes de 17.6.2.	Actualizar a la versión 17.6.2 o posterior.
CVE-2024-8233		Versiones desde 9.4 hasta antes de 17.4.6.	Actualizar a la versión 17.4.6 o posterior.
		Versiones desde 17.5 hasta antes de 17.5.4.	Actualizar a la versión 17.5.4 o posterior.
		Versiones desde 17.6 hasta antes de 17.6.2.	Actualizar a la versión 17.6.2 o posterior.

Recomendaciones:

• Actualizar todas las implementaciones afectadas a las versiones recomendadas para mitigar estas vulnerabilidades.

• Revisar las configuraciones de seguridad para proteger las instancias de GitLab de posibles exploits.

• Monitorear la actividad del sistema para identificar comportamientos sospechosos tras aplicar los parches.

Referencias:

• https://securityonline.info/cve-2024-11274-gitlab-vulnerability-exposes-user-accounts/
• https://about.gitlab.com/releases/2024/12/11/patch-release-gitlab-17-6-2-released/
• https://www.cve.org/CVERecord?id=CVE-2024-11274
• https://www.cve.org/CVERecord?id=CVE-2024-8233