9VSA20-00142-01 CSIRT comparte actualizaciones de GitLab

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte información obtenida de GitLab, referente a una vulnerabilidad que afecta a su característica para compartir grupos, la cual, de ser explotada, permitiría a un atacante remoto acceder a proyectos de terceros sin autorización. Este informe incluye la respectiva mitigación.

Vulnerabilidades

CVE-2020-8795

Impactos

Debido a un error en la forma de gestionar la característica de compartir grupos, es posible que al utilizar la característica se le de acceso a proyectos a usuarios no autorizados, permitiendo a un atacante visualizar proyectos ajenos.

Productos Afectados

GitLab Community Edition desde la versión 12.5.0 hasta la versión 12.7.5.

Mitigación

Dependiendo de la versión, se debe actualizar a:

Para la versión 12.7.x, actualizar a la 12.7.6.

Para la versión 12.6.x, actualizar a la 12.6.7.

Para la versión 12.5.x, actualizar a la 12.5.10.

Enlaces

https://about.gitlab.com/releases/2020/02/13/critical-security-release-gitlab-12-dot-7-dot-6-released/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8795

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00142-01