48 3052-8500

Vulnerabilidade de segurança afeta milhares de instâncias no GitLab - OSTEC | Segurança digital de resultados

Geral 2min de Leitura - 09 de março de 2022

Vulnerabilidade de segurança afeta milhares de instâncias no GitLab

bug gitlab

This post is also available in: Português

Em 18 de novembro de 2021, Jake Bainess, pesquisador de segurança sênior da Rapid7, divulgou de maneira responsável, e com detalhes, uma vulnerabilidade de segurança no GitLab, um software DevOps de código aberto, que poderia permitir que um invasor remoto não autenticado coletasse informações relacionadas aos usuários.

A falha, rastreada como CVE-2021-4191, possui pontuação CVSS: 5.3 -gravidade média-, que afeta todas as versões do GitLab Community Edition e Enterprise Edition a partir da versão 13.0 e todas as versões a partir de 14.4 e anteriores a 14.8.

Após a divulgação, os patches foram lançados como parte das versões de segurança críticas do GitLab 14.8.2, 14.7.4 e 14.6.5, enviadas em 25 de fevereiro deste ano.

Em um relatório publicado recentemente, Baines diz que a vulnerabilidade é o resultado de uma verificação de autenticação ausente ao executar certas consultas da API do GitLab GraphQL. Um invasor remoto não autenticado pode usar essa vulnerabilidade para coletar nomes de usuário, nomes e endereços de e-mail registrados no GitLab.

gitlab
Imagem/Redprodução: The Hacker News.

A exploração bem sucedida do vazamento de informações da API, pode permitir que cibercriminosos enumerem e compilem listas de nomes de usuários legítimos, podendo ser utilizadas como um trampolim para conduzir ataques de força bruta.

Baines diz que as listas podem ser baseadas nas instalações do gitlab.com e outras 50.000 instancias do GitLab que podem ser acessadas pela internet.

Além do CVE-2021-4191, o patch também aborda seis outras falhas de segurança, uma das quais é um problema crítico (CVE-2022-0735, pontuação CVSS: 9,6) que permite que um agente de ameaça sugira os tokens de registro do runner, usados para autenticar e autorizar trabalhos de CI-CD hospedados em instancias do GitLab.

Você já conhece o OSTEC Push?

O OSTEC Push é um canal de notícias e outras informações relevantes sobre o universo da segurança digital, para que você esteja sempre atualizado.

O conteúdo é enviado através do WhatsApp, e para ter acesso, basta que você faça duas coisas simples e rápidas.

1º Cadastre em seus contatos o número (48) 3052-8526 como “OSTEC Push”, para que você possa receber as mensagens;

2º Cadastre seu número de WhatsApp neste link: https://bit.ly/2UFz7F8

Pronto, viu como é simples e rápido?

A partir desse momento você receberá os novos conteúdos diariamente direto no seu celular!

Compartilhe com seus contatos para que eles também possam se cadastrar e receber nossos conteúdos.

Fonte: The Hacker News.

This post is also available in: Português

Qual a diferença entre EDR e Antivírus?

Postagem anterior