-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 CAIS-Alerta [18-01-2024]: Vulnerabilidades no GitLab Community Edition e Enterprise Edition Prezados(as), O CAIS alerta a comunidade de segurança cibernética para vulnerabilidades críticas divulgada pela GitLab. Pacotes de atualização estão disponíveis para corrigir essas falhas, que afetam diversas versões da solução GitLab Community Edition e Enterprise Edition. Destacamos o CVE-2023-7028 com uma pontuação CVSS 10.0 e ressaltamos que já existe uma POC (Prova de Conceito) acessível publicamente na internet. O GitLab é uma plataforma de gerenciamento de repositórios de software baseada em Git, proporcionando suporte para Wiki, gestão de tarefas e integração contínua/entrega contínua (CI/CD). Este software, disponível como código aberto na web, apresenta uma versão gratuita para comunidade e uma versão comercial. Recomenda-se fortemente aos administradores dessa solução que acessem o boletim completo em "Mais informações" neste alerta. 1) Produto(s) e versões afetadas; 2) Identificadores CVE (http://cve.mitre.org); 3) Descrição da vulnerabilidade; 4) Mitigação e correções disponíveis; e 5) Mais informações. 1) Produtos e versões afetadas: GitLab Community Edition e Enterprise Edition Versões: 16.1 a 16.1.5 16.2 a 16.2.8 16.3 a 16.3.6 16.4 a 16.4.4 16,5 a 16,5,5 16.6 a 16.6.3 16.7 a 16.7.1 2) Identificadores CVE (http://cve.mitre.org): CVE-2023-7028 3) Descrição das vulnerabilidades: A exploração bem-sucedida desta vulnerabilidade pode resultar na tomada de controle da conta de administrador no GitLab, sem a necessidade de interação do usuário. A falha afeta os mecanismos de autenticação do aplicativo, permitindo ao agente malicioso alterar a senha ao obter o token de redefinição de credencial enviado para um "endereço de e-mail fraudulento". O agente malicioso tem a capacidade de fornecer dois endereços de e-mail, e o código de redefinição será enviado para ambos. 4) Mitigação e correções disponíveis; GitLab lançou as versões 16.7.2, 16.5.6 e 16.6.4 para corrigir a vulnerabilidade. A correção também foi transferida para 16.1.6, 16.2.9 e 16.3.7. 5) Mais informações: https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/ https://nvd.nist.gov/vuln/detail/CVE-2023-7028 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!! Twitter: @caisRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br https://www.rnp.br/sistema-rnp/cais # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponível https://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- iQIzBAEBCAAdFiEEmWJsLogaTfQskA851Per/VOaV4AFAmWpDO4ACgkQ1Per/VOa V4AXQRAAjk5IEp4OAoXq0emqeCF11sxv/ICAB6TMRDDMZKF6em19UrIPTDGbnLb2 P2xxpElaShaxqOKuML895zdVDFPScBHpbRocIKvc09+H4EiEqPhauX7b2ekYJPYz p0dOC+zmEbiHciCyj6PBq+QozdTMNZVRW3E7YonolhBJeWmu6M/xf2QC6nchqgll Fw3Reqt1CnOzFg8SNtRRfag8nAJWERtg8na9rh+cgmqdlhtwr1NElzU9AJsCCe8I 4QP3r51a+CHDZVxN9mtcz3mpW9bbXO6nDcT42apYp9wCxm312JEPkLI4iFakw471 zVD4lde4TvPaRMF2CZEjjh/ejqsmfmr0mGDYvD2ZDYsOAyoEZs9biZY42aQk+GzV VK9pLKntlJWlqbs7Ia7hw4ilkoRt3gak7MV1d4cB4ilrSm3C2aOTFqBEPP+2cUUm dnMBHhvQimt4H/HiXcwPGCw7KbB44zZ6lRLdsn+sFWXll3I6qILj9PzPBuxpo5Ur l3Aqy4lP5whBi7nBrWm8g9XmOnaairIzcqfGD2Szq0S5CFJuRf7RYJob0Hc+GSak uFBZKeyUlucul6QRnzaPX4UyVWRxVE16O3T4araoaFBBO9NfSSL8oXzWiuF5mrGx NnfcVvcvGmfvXahcl/sanT/U+4nQRP2mugo3R2pzQU2uMpDJaIg= =Gv1n -----END PGP SIGNATURE-----