A GitLab lançou uma atualização de emergência, depois de ter sido identificada uma falha de máxima gravidade CVSS v3.1, que pode afetar quem usa a plataforma em formato self-hosted.
O GitLab é uma plataforma web git, focada para equipas de programadores poderem gerir os seus códigos remotamente, contando com mais de 30 milhões de utilizadores registados e um milhão de utilizadores com planos pagos.
A falha foi descoberta pelo investigador de segurança pwnie e reportada no programa de "bug bounty" HackOne. A mesma afeta o GitLab Community Edition (CE) e Enterprise Edition (EE) na versão 16.0.0, mas não as anteriores a esta.
Se explorada, a falha pode permitir aos atacantes lerem qualquer conteúdo do servidor, através de projetos que se encontram publicamente disponíveis e com um certo número de ficheiros anexados.
A ser explorada, conteúdos sensíveis podem ser acedidos, incluindo código que se encontre no sistema e dados de credenciais de utilizadores, tokens e outros ficheiros privados. Os detalhes da exploração da falha não foram, para já, revelados, permitindo que uma quantidade elevada de sistemas sejam primeiro atualizados – evitando a exploração.
No entanto, tendo em conta que possui um grau de gravidade elevado, esta será uma atualização bastante importante de ser feita para quem esteja a usar uma das versões afetadas. A entidade sublinha que é consideravelmente importante a todas as instalações atualizarem para a versão 16.0.1, a qual corrige o problema e foi lançada durante o dia de hoje.
A empresa recomenda que os utilizadores sigam os passos da documentação para o upgrade do sistema.
Nenhum comentário
Seja o primeiro!