GitLab actualizó sus ediciones Community y Enterprise para corregir una vulnerabilidad crítica que permitía a actores maliciosos ejecutar trabajos de canalización como cualquier otro usuario de la plataforma.
En sus notas de lanzamiento del parche, publicadas en el sitio web de GitLab, la compañía dijo que “recomienda encarecidamente” a los usuarios actualizar sus instalaciones a las últimas versiones de inmediato, y agregó que GitLab.com y GitLab Dedicated ya están arreglados.
Las versiones más recientes son 17.1.2, 17.0.4 y 16.11.6, y las versiones vulnerables están todas entre 15.8 y 16.11.6, 17.0 y 17.0.4, y 17.1 y 17.1.2.
Millones están en peligro
La falla crítica, que fue descubierta a través del programa de recompensas por errores de HackerOne, permite a un atacante ejecutar una canalización como otro usuario, bajo ciertas condiciones.
GitLab Pipeline es una característica poderosa de GitLab Integración continua/implementación continua Sistema CI/CD. Automatiza el proceso de creación, prueba e implementación de código, lo que permite a los desarrolladores asegurarse de que su software sea confiable y esté listo para su lanzamiento. Durante la fase de construcción, el código se compila y se convierte en un archivo ejecutable. En la fase de prueba, se analiza la integridad y funcionalidad del código en busca de errores y defectos. Finalmente, en la fase de implementación, el código aprobado se implementa en el entorno requerido.
Al utilizar la canalización, los desarrolladores pueden optimizar el proceso de desarrollo, automatizar tareas repetitivas y mantener una alta calidad del código.
La vulnerabilidad ahora se rastrea como CVE-2024-6385 y tiene una clasificación de gravedad de 9,6/10 (crítica).
GitLab es una plataforma DevOps con más de 30 millones de usuarios registrados, según Computadora sangranteMás de la mitad de las empresas Fortune 100 lo utilizan para sus necesidades de DevOps, incluida la NASA, IntelSiemens, Goldman Sachs y muchos otros.
GitLab Community Edition (CE) es Fuente abierta La versión es de uso gratuito y, por lo tanto, la utilizan principalmente equipos de tamaño pequeño. Incluye funciones básicas como gestión de código fuente, seguimiento de problemas y capacidades básicas de integración/implementación continua (CI/CD).
Enterprise Edition es una versión paga que proporciona funciones adicionales, diseñada para admitir organizaciones más grandes con necesidades más complejas. Esta versión incluye funciones de seguridad avanzadas, capacidades CI/CD mejoradas, monitoreo del rendimiento y herramientas de cumplimiento. También proporciona soporte mejorado para la colaboración a gran escala, la gestión de proyectos y la optimización de recursos.