-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 CAIS-Alerta [19-09-2024] Vulnerabilidade no GitLab Community e Enterprise Edition Prezados(as), O CAIS alerta a comunidade de segurança cibernética sobre um conjunto de vulnerabilidades críticas recentemente divulgadas pela GitLab, que afetam suas soluções GitLab Community (CE) e Enterprise Edition (EE). Neste alerta, destacamos o CVE-2024-45409, que recebeu uma pontuação CVSS de 10.0. Recomendamos fortemente que os administradores dos ambientes impactados acessem os boletins completos do fornecedor na aba "Mais informações". 1) Produtos e versões afetadas; 2) Identificadores CVE (http://cve.mitre.org); 3) Descrição das vulnerabilidades; 4) Mitigação e correções disponíveis; e 5) Mais informações. 1) Produtos e versões afetadas: GitLab CE/EE Versões anteriores a 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10 2) Identificadores CVE (http://cve.mitre.org): CVE-2024-45409 3) Descrição das vulnerabilidades: Esta vulnerabilidade foi identificada na biblioteca ruby-saml, resultante da falha em verificar corretamente a assinatura da resposta SAML. Um agente malicioso não autenticado, com acesso a qualquer documento SAML assinado pelo IdP, pode forjar uma Resposta/Afirmação SAML com conteúdo arbitrário. Isso permitirá que o invasor acesse o sistema como um usuário arbitrário. SAML, que significa Security Assertion Markup Language, é um protocolo que possibilita o logon único (SSO) e a troca de dados de autenticação e autorização entre diferentes aplicativos e sites. 4) Mitigação e correções disponíveis: A GitLab lançou pacotes de atualização nas versões 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10 para correção da vulnerabilidade, e recomenda fortemente que os administradores de todas as versões do GitLab CE/EE atualizem seus ambientes para mitigação do problema. 5) Mais informações: https://about.gitlab.com/releases/2024/09/11/patch-release-gitlab-17-3-2-released/ https://about.gitlab.com/releases/2024/09/17/patch-release-gitlab-17-3-3-released/ O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!! Twitter: @caisRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br https://www.rnp.br/sistema-rnp/cais # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponível https://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- iQIzBAEBCAAdFiEEmWJsLogaTfQskA851Per/VOaV4AFAmbseb0ACgkQ1Per/VOa V4A52A//U6V+NHV4DesENB7YrAvYq4Nv8814BJHoF7DEtfB77LDRaKsFojtDifyV ADtGHZWKl+J4ziVe0mx5ezwgx11YmIp0FxXqSXXSw41859Z0I6TxNgrTV0DMdtK7 gY6cTaeGvRVkMF2UNgXPk5ZEENZEchesfQmVVxgWdfW4mTk40u/aniumqr0bkntJ xj/bBDPsmX0iK0dnkJbaeN9mWcAJegDkZmvR3B+m8FYn1ESvzrYppg9GWnatXxnm 3FnraYlDKRqOoV79BRg6QrKpi1/8WuLmpmhyFLv55hz0hrVOQ8dkw5kf2uDGRiO1 XiPU3W7ngwHjXqvmqHlZhT0G1cOnC5Lgr5QupqoMJpbRI+lIujCL8MzI3LHczAUg 97rciablcDjSubzMZdKs/HUUD3nPsAWOKUNI+UDFyd7z5LlvBg/wQzQGfUTxJpDg 6hMKUzPfWMmgXl3+1oU68yvEXz7Hp5qcPzHtq7+4MTfqvo3UgU0LAjyCLZE2glze d0+avalvucrTKjhYuIcEXXrR946ZrskmVCowEFC1gWWRzKxO0urU02CpxClGMeAN Su0lUK/eMxTDf2l57m6aaWYmMJVgEtpdF1TntnlsWDh5mTS4xxnpha8bDFgvdZKQ jNyJztwJ7w/srNwhaF5bNd2nmYERs1nP/d43vTcff63K8Gd8xzE= =ieuK -----END PGP SIGNATURE-----