9VSA21-00359-01 CSIRT comparte mitigaciones obtenidas de GitLab

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información entregada por GitLab  sobre dos vulnerabilidades que afectan a GitLab Community Edition y GitLab Enterprise Edition.

Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.

Vulnerabilidades

CVE-2021-22166

CVE-2020-26414

Impacto

Debido a un error al procesar las solicitudes de autenticación, un atacante remoto puede robar el token de acceso del usuario a la API a través de GitLab Pages, evadiendo el proceso de autenticación y ganando acceso no autorizado a la aplicación.

Asimismo, un atacante también puede provocar una denegación de servicio al enviar una solicitud HTTP con un método malformado en Prometeus.

Productos afectados

GitLab Community Edition: Versiones de la 11.5.0 a la 13.7.1.

GitLab Enterprise Edition: Versiones de la 11.5.0. a la 13.7.1.

Mitigación

Instalar las actualizaciones desde el sitio del proveedor.

Enlaces

https://about.gitlab.com/releases/2021/01/07/security-release-gitlab-13-7-2-released/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22166

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26414

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA21-00359-01

9VSA21-00359-01 CSIRT comparte mitigaciones obtenidas de GitLab