GitLab, uno de los repositorios de código más famosos del mundo, enfrenta problemas críticos de seguridad en la última actualización. Aparte de la funcionalidad avanzada, el 16.0 El parche trajo una vulnerabilidad extremadamente severa.. Los expertos ya lo dieron cvss 10.0 marca – lo más alto posible.
¿Qué es GitLab??
GitLab es un repositorio de código abierto y una plataforma de desarrollo de software colaborativo.. El paquete de software DevOps permite a los usuarios desarrollar, proteger y utilizar el software utilizado por los equipos de desarrollo que necesitan gestionar su código de forma remota. Tiene alrededor 30 millones de usuarios registrados, incluyendo un millón de clientes de pago. Como puedes imaginar, Incluso un pequeño problema o vulnerabilidad en el producto tendrá una escala aterradora, y eso es lo que sucedió..
La vulnerabilidad de GitLab obtiene la calificación CVSS más alta
La empresa descubrió recientemente un recorrido de ruta crítica vulnerabilidad CVE-2023-2825 con puntuación CVSS del estado de gravedad máxima de 10.0. Esta vulnerabilidad permite a atacantes no autenticados leer archivos arbitrarios en el servidor bajo ciertas condiciones.. Los atacantes pueden leer datos confidenciales desde puntos finales vulnerables. Estos datos pueden incluir código de software propietario, credenciales de usuario, fichas, archivos, y otra información personal.
La vulnerabilidad fue descubierta. por investigador de ciberseguridad «pwnie» y afectado versiones 16.0.0 de la edición comunitaria de GitLab (CE) y edición empresarial (EE.UU.). Él dijo que debes tener un archivo adjunto en un proyecto público anidado en al menos cinco grupos para explotar la vulnerabilidad. Sin embargo, El punto excelente es que esta estructura solo se encuentra en algunos proyectos de GitHub.. Además, versión 16.0 es la actualización más reciente para GitLab CE/EE, por lo tanto, simplemente circula demasiado poco tiempo para convertirse en un tema importante..
Mitigación
GitLab lanzó inmediatamente una actualización de seguridad para abordar esta vulnerabilidad después de su descubrimiento., destacando su rápida respuesta a tales amenazas a la seguridad. Para proteger sus sistemas, Versión GitLab CE o EE 16.0.0 Se recomienda encarecidamente a los usuarios que instalen la actualización más reciente o realicen una reversión.
Recomendamos encarecidamente que todas las instalaciones que ejecuten una versión afectada por los problemas descritos a continuación se actualicen a la última versión lo antes posible.. Cuando no hay un tipo de implementación específico (general, código fuente, carta de timón, etc.) de un producto se menciona, esto significa que todos los tipos se ven afectados. – GitLab.
Para actualizar su instalación de GitLab, por favor, siga estas instrucciones.
Aparte de las pautas oficiales, usted puede aplicar una serie de otras medidas. son reactivos, pero lo más probable es que hagan su trabajo en el caso de otros problemas que no se solucionen tan rápido.
Por ejemplo, Recomiendo usar software que admita el modelo de confianza cero. en dos palabras, Zero Trust es una estrategia de seguridad diseñada para implementar principios de seguridad.. No es un producto o servicio sino más bien un enfoque.. Estos principios incluyen verificación detallada, el uso del acceso con privilegios mínimos, y el supuesto de incumplimiento. Sin embargo, esto puede impedir el acceso no autorizado.
Además, Puedes seguir las noticias cibernéticas y mantenerte al día con las últimas novedades.. De este modo, Puede obtener información valiosa sobre los últimos productos., amenazas emergentes, y tendencias en ciberseguridad. Las fuentes de noticias cibernéticas proporcionan información sobre nuevas vulnerabilidades, violaciones de datos, ataques de malware, e incidentes de piratería. Así que, le permite mantenerse proactivo y estar mejor equipado para protegerse a sí mismo y a sus activos digitales. Al mantenerse al día con estos informes, Puede aprender de ejemplos del mundo real y comprender las tácticas y técnicas empleadas por los ciberdelincuentes.. Prevenido vale por dos.
