ACTUALIZACIÓN DE SEGURIDAD PARA VULNERABILIDAD CRÍTICA DE GITLAB

25/05/2023

BOLETÍN NRO 2023-344

Recientemente, GitLab ha lanzado una actualización de seguridad para abordar una falla transversal de ruta de gravedad crítica.

Servicios Afectados

• GitLab Community Edition (CE) y Enterprise Edition (EE) versión 16.0.0

Detalles Tecnicos

CVE: CVE-2023-2825                                    Severidad:   CRÍTICA Amenaza: ---                                  Categoría: Vulnerabilidad GitLab lanzo una actualización de seguridad de emergencia para la vulnerabilidad crítica CVE-2023-2825, esta tiene un puntaje de CVSS v3.1: 10.0. Afecta a GitLab Community Edition (CE) y Enterprise Edition (EE) versión 16.0.0, pero todas las versiones anteriores a esta no se ven afectadas. El problema se relaciona con la forma en que GitLab administra o resuelve las rutas de los archivos adjuntos anidados dentro de varios niveles de jerarquía de grupo. Sin embargo, debido a la criticidad del problema y el reciente descubrimiento, esta vez el proveedor no reveló muchos detalles.

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Actualizar a la versión 16.0.1.

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

** Aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1:  GitLab 'strongly recommends' patching max severity flaw ASAP
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​