GitLab ha actualizado sus ediciones Community y Enterprise para corregir una vulnerabilidad crítica que permitía a actores maliciosos ejecutar trabajos de canalización como cualquier otro usuario de la plataforma.
En las notas del lanzamiento del parche, publicadas en el sitio web de GitLab, la compañía dijo que recomienda “encarecidamente” a los usuarios que actualicen sus instalaciones a las últimas versiones de inmediato, y agregó que GitLab.com y GitLab Dedicated ya estaban arreglados.
Las últimas versiones son 17.1.2, 17.0.4, 16.11.6, y las versiones vulnerables están todas entre 15.8 y 16.11.6, 17.0 y 17.0.4, y 17.1 y 17.1.2.
Millones de usuarios en Riesgo
La falla crítica, descubierta a través del programa de recompensas por errores HackerOne, permite a un atacante activar una canalización como otro usuario, bajo ciertas circunstancias.
GitLab Pipeline es una característica poderosa del sistema de Integración Continua/Implementación Continua (CI/CD) de GitLab. Automatiza el proceso de creación, prueba e implementación de código, lo que permite a los desarrolladores garantizar que su software sea confiable y esté listo para su lanzamiento.
Durante la etapa de creación, el código se compila y se transforma en un ejecutable. En la etapa de prueba, se analiza la integridad y la funcionalidad del código para detectar errores y fallas.
Finalmente, en la etapa de implementación, el código validado se implementa en el entorno deseado.
Al utilizar un pipeline, los desarrolladores pueden optimizar el proceso de desarrollo, automatizar tareas repetitivas y mantener una alta calidad del código.
La vulnerabilidad ahora se conoce como CVE-2024-6385 y tiene una puntuación de gravedad de 9,6/10 (crítica).
GitLab es una plataforma DevOps con más de 30 millones de usuarios registrados.
Más de la mitad de las empresas de Fortune 100 la utilizan para sus necesidades de DevOps, incluidas la NASA, Intel, Siemens, Goldman Sachs y muchas otras.
GitLab Community Edition (CE) es una versión de código abierto de uso gratuito y, como tal, la utilizan principalmente equipos más pequeños. Incluye funciones básicas como administración de código fuente, seguimiento de problemas y capacidades básicas de integración continua/implementación continua (CI/CD).
La edición Enterprise es una versión paga que ofrece funciones adicionales, diseñada para respaldar a organizaciones más grandes con necesidades más complejas.
Esta edición incluye funciones de seguridad avanzadas, capacidades mejoradas de CI/CD, monitoreo del rendimiento y herramientas de cumplimiento. También ofrece soporte mejorado para colaboración a gran escala, administración de proyectos y optimización de recursos.
Descubre más desde CIBERNINJAS
Suscríbete y recibe las últimas entradas en tu correo electrónico.