O GitLab está pedindo aos usuários que instalem uma atualização de segurança para as ramificações 15.1, 15.2 e 15.3 de suas edições comunitárias e corporativas para corrigir uma vulnerabilidade crítica. Esse problema pode permitir que um invasor execute a execução remota de comandos por meio da importação do Github. Deste modo, o GitLab pede correção de falha crítica de RCE.
O GitLab é um repositório Git baseado na Web para equipes de desenvolvedores que precisam gerenciar seu código remotamente. Tem aproximadamente 30 milhões de usuários registrados e um milhão de clientes pagantes.
Por que o GitLab pede correção de falha crítica de RCE?
A vulnerabilidade resolvida nesta atualização de segurança é rastreada como CVE-2022-2884 e atribuída a uma pontuação de criticidade CVSS v3 de 9,9. Afeta todas as versões a partir de 11.3.4 e até 15.1.4, aquelas entre 15.2 e 15.2.3 e 15.3.
Além disso, o GitLab destaca que o tipo de implantação (omnibus, código-fonte, gráfico do leme, etc.) não faz diferença, pois todos eles são afetados.
A execução de comandos remotos é um tipo potente de falha, permitindo que invasores remotos executem códigos maliciosos na máquina de destino, injetem malware e backdoors ou assumam o controle total do endpoint vulnerável.
Usando essa vulnerabilidade, um agente de ameaça pode assumir o controle do servidor, roubar ou excluir código-fonte, realizar confirmações maliciosas e muito mais.
As versões mais recentes do GitLab que abordam o problema são 15.3.1, 15.2.3 e 15.1.5, para as quais os usuários são aconselhados a atualizar imediatamente.
“Recomendamos fortemente que todas as instalações que executam uma versão afetada pelos problemas descritos abaixo sejam atualizadas para a versão mais recente o mais rápido possível”, menciona o anúncio de lançamento do GitLab.
Gambiarra
Se não for possível instalar as atualizações de segurança por qualquer motivo, o GitLab recomenda aplicar uma solução alternativa que consiste em desabilitar a importação do GitHub, uma ferramenta usada para importar projetos de software inteiros do GitHub para o GitLab.
Para aplicar a solução alternativa, siga estas etapas:
- Faça login usando uma conta de administrador para sua instalação do GitLab
- Clique em “Menu” -> “Admin”
- Clique em “Configurações” -> “Geral”
- Expanda a guia “Visibilidade e controles de acesso”
- Em “Importar fontes” desative a opção “GitHub”
- Clique em “Salvar alterações”
Para verificar se a solução alternativa foi implementada corretamente, siga estas etapas:
- Em uma janela do navegador, faça login como qualquer usuário.
- Clique em “+” na barra superior.
- Clique em “Novo projeto/repositório”.
- Clique em “Importar projeto”.
- Verifique se “GitHub” não aparece como uma opção de importação
Para obter instruções sobre como atualizar sua instalação do GitLab, confira o portal de atualização oficial do projeto.
Normalmente, falhas poderosas entram no status de exploração ativa alguns dias depois de serem divulgadas por meio do lançamento de atualizações de segurança. Portanto, é altamente recomendável aplicar as atualizações ou mitigações recomendadas o mais rápido possível.