GitLab: Nuevos parches para falla de seguridad crítica

Existe una vulnerabilidad de ejecución remota de comandos a través de la importación de Github, para la cual, durante esta semana, se han lanzado nuevas actualizaciones en las versiones: 15.3.1, 15.2.3, 15.1.5 para GitLab Community Edition (CE) y Enterprise Edition (EE).

La falla de seguridad identificada como CVE-2022-2884, con severidad CVSS 9.9/10, afecta a las siguientes versiones:

  • Gitlab CE/EE desde la versión 11.3.4 hasta 15.1.5
  • Gitlab CE/EE desde la versión 15.2 hasta 15.2.3
  • Gitlab CE/EE desde la versión 15.3 hasta 15.3.1

La vulnerabilidad permite a un usuario autenticado la ejecución remota de códigos a través de Importar desde GitHub API endpoint. Por ahora no se tiene evidencia de que la vulnerabilidad este siendo explotada, sin embargo, se recomienda actualizar a la última versión urgentemente.

En caso de que no se puede realizar la actualización inmediatamente, como alternativa se puede deshabilitar la importación de GitLab:

  1. Click en «Menu» >> «Admin».
  2. Click en «Settings» >> «General».
  3. Expandir la pestaña de «Visibility and access controls».
  4. En «Import sources» deshabilite la opción «GitHub».
  5. Finalmente guarde los cambios.

Para más información:

  • https://about.gitlab.com/releases/2022/08/22/critical-security-release-gitlab-15-3-1-released/#Remote%20Command%20Execution%20via%20Github%20import
  • https://thehackernews.com/2022/08/gitlab-issues-patch-for-critical-flaw.html