A versão mais recente do GitLab trouxe uma série de atualizações críticas de segurança, impactando tanto a Community Edition (CE) quanto a Enterprise Edition (EE). A empresa recomenda enfaticamente que todas as instalações autogerenciadas do GitLab sejam atualizadas imediatamente para as versões mais recentes: 17.4.2, 17.3.5 ou 17.2.9. Essas correções abordam várias vulnerabilidades críticas e de alta severidade, com destaque para uma falha crítica que poderia permitir que atacantes executassem pipelines em ramos arbitrários. Essa atualização de segurança surge após uma sequência de vulnerabilidades críticas que a GitLab teve que solucionar nos meses anteriores, refletindo um empenho contínuo em salvaguardar os dados de seus usuários e a integridade de suas operações.
Vulnerabilidades Críticas e Recomendações de Atualização
No mês passado, a GitLab já tinha corrigido outra falha crítica (CVE-2024-6678), que apresentava uma pontuação de 9.9 no CVSS e que poderia ter possibilitado que um invasor rodasse jobs de pipeline como um usuário arbitrário. Antes disso, a empresa também solucionou mais três vulnerabilidades de alta severidade: CVE-2023-5009, CVE-2024-5655 e CVE-2024-6385, cada uma com uma pontuação de 9.6 no mesmo sistema. Destaca-se, ainda, que em maio a Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) já havia classificado uma vulnerabilidade crítica (CVE-2023-7028) que afetava o GitLab como uma Vulnerabilidade Conhecida Explorada (KEV), em decorrência da detecção de tentativas de exploração ativa.
As mais recentes correções de segurança da GitLab abordaram questões de severidade alta e, entre elas, estão vulnerabilidades que poderiam permitir que atacantes se passassem por usuários arbitrários, explorassem solicitações forjadas do lado do servidor (SSRF) no Painel de Análise, e executassem injeções HTML na página de OAuth. A equipe de segurança da GitLab identificou um total de oito vulnerabilidades, variando de críticas a baixas. A empresa afirmou: “Estamos comprometidos em garantir que todos os aspectos do GitLab que são expostos a clientes ou que hospedam dados de clientes sejam mantidos nos mais altos padrões de segurança.”
O Impacto das Vulnerabilidades nos Usuários e a Necessidade de Patching
A vulnerabilidade mais severa nesta atualização, identificada como CVE-2024-9164, afeta todas as versões a partir da 12.5 antes das últimas correções. Esta falha crítica poderia permitir que atores maliciosos executassem pipelines em ramos arbitrários, comprometendo potencialmente a integridade de projetos e seus dados associados. Outra questão de alta severidade, identificada como CVE-2024-8970, impacta todas as versões a partir da 11.6 e poderia permitir que um atacante acionasse um pipeline como outro usuário em determinadas circunstâncias. Tal vulnerabilidade destaca a importância de aplicar atualizações rapidamente para manter a segurança das instâncias do GitLab.
Ainda que não existam evidências de exploração ativa dessas vulnerabilidades, os usuários são fortemente aconselhados a atualizar suas instâncias para a versão mais recente de forma a se protegerem contra possíveis ameaças. Além das correções de segurança, as atualizações também contêm várias correções de bugs destinadas a melhorar o desempenho e a confiabilidade. Entre estas, estão a resolução de problemas com filtragens de etiquetas, correção de um erro 401 para solicitações não autenticadas na funcionalidade go-get e a gestão de problemas com a divulgação de modelos de projetos.
A GitLab continua a enfatizar a importância de manter uma boa higiene de segurança. A empresa recomenda a todos os clientes que atualizem para a versão mais recente das correções patch como parte das melhores práticas na segurança de suas instâncias do GitLab. Especialmente no contexto da recente sequência de vulnerabilidades críticas, a aplicação oportuna de patches e práticas de segurança vigilantes permanecem cruciais para organizações que utilizam as ferramentas de colaboração e desenvolvimento do GitLab. O fortalecimento da segurança deve ser uma prioridade constante, uma vez que as ameaças cibernéticas evoluem e se tornam cada vez mais sofisticadas, exigindo que as empresas permaneçam alerta e prontas para agir em defesa de seus ativos digitais.