-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 CAIS-Alerta [04-07-2024] Vulnerabilidade no GitLab Community e Enterprise Edition Prezados(as), O CAIS alerta a comunidade de segurança cibernética para vulnerabilidade crítica divulgada recentemente pela GitLab que afeta suas soluções GitLab Community (CE) e Enterprise Edition (EE), o que pode permitir que um invasor acione um pipeline como outro usuário. Esta vulnerabilidade foi classificada com pontuação CVSS 8.8. 1) Produtos e versões afetadas; 2) Identificadores CVE (http://cve.mitre.org); 3) Descrição das vulnerabilidades; 4) Mitigação e correções disponíveis; e 5) Mais informações. 1) Produtos e versões afetadas: GitLab CE/EE Todas as versões, da 15.8 anterior à 16.11.5, da 17.0 anterior à 17.0.3 e da 17.1 anterior à 17.1.1. 2) Identificadores CVE (http://cve.mitre.org): CVE-2024-5655 3) Descrição das vulnerabilidades: Os pipelines do GitLab são um recurso do sistema do tipo CI/CD, integração contínua e entrega contínua, que permite aos usuários executarem automaticamente processos e tarefas, simultaneamente ou em sequência, para criar, testar ou implantar alterações de código. A exploração bem-sucedida desta vulnerabilidade por um agente malicioso poderá resultar na execução de pipeline de outros usuários, em determinadas situações. O CAIS recomenda fortemente que os administradores de ambientes que utilizam esta solução, acessem o boletim do fornecedor para maiores informações. 4) Mitigação e correções disponíveis: A GitLab lançou recentemente pacotes de atualização nas versões 17.1.1, 17.0.3 e 16.11.5 para correção da vulnerabilidade, e recomenda fortemente que os administradores de todas as versões do GitLab CE/EE atualizem seus ambientes para mitigação do problema. 5) Mais informações: https://nvd.nist.gov/vuln/detail/CVE-2024-5655 https://www.cve.org/CVERecord?id=CVE-2024-5655 https://about.gitlab.com/releases/2024/06/26/patch-release-gitlab-17-1-1-released/ https://www.bleepingcomputer.com/news/security/critical-gitlab-bug-lets-attackers-run-pipelines-as-any-user/ O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!! Twitter: @caisRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br https://www.rnp.br/sistema-rnp/cais # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponível https://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- iQIzBAEBCAAdFiEEmWJsLogaTfQskA851Per/VOaV4AFAmWpDO4ACgkQ1Per/VOa V4AXQRAAjk5IEp4OAoXq0emqeCF11sxv/ICAB6TMRDDMZKF6em19UrIPTDGbnLb2 P2xxpElaShaxqOKuML895zdVDFPScBHpbRocIKvc09+H4EiEqPhauX7b2ekYJPYz p0dOC+zmEbiHciCyj6PBq+QozdTMNZVRW3E7YonolhBJeWmu6M/xf2QC6nchqgll Fw3Reqt1CnOzFg8SNtRRfag8nAJWERtg8na9rh+cgmqdlhtwr1NElzU9AJsCCe8I 4QP3r51a+CHDZVxN9mtcz3mpW9bbXO6nDcT42apYp9wCxm312JEPkLI4iFakw471 zVD4lde4TvPaRMF2CZEjjh/ejqsmfmr0mGDYvD2ZDYsOAyoEZs9biZY42aQk+GzV VK9pLKntlJWlqbs7Ia7hw4ilkoRt3gak7MV1d4cB4ilrSm3C2aOTFqBEPP+2cUUm dnMBHhvQimt4H/HiXcwPGCw7KbB44zZ6lRLdsn+sFWXll3I6qILj9PzPBuxpo5Ur l3Aqy4lP5whBi7nBrWm8g9XmOnaairIzcqfGD2Szq0S5CFJuRf7RYJob0Hc+GSak uFBZKeyUlucul6QRnzaPX4UyVWRxVE16O3T4araoaFBBO9NfSSL8oXzWiuF5mrGx NnfcVvcvGmfvXahcl/sanT/U+4nQRP2mugo3R2pzQU2uMpDJaIg= =Gv1n -----END PGP SIGNATURE-----