Avisos sobre serviços
Aviso sobre exploração de vulnerabilidade de execução remota de comando no GitLab (CVE-2021-22205)
05 de Novembro de 2021, GMT+08:00
I. Descrição
Em 14 de abril de 2021, o GitLab publicou um comunicado de segurança para abordar a CVE-2021-22205, uma vulnerabilidade crítica de execução remota de código na interface web do serviço, a qual tem sido explorada na Internet. O GitLab não estava validando corretamente os arquivos de imagem passados para um analisador de arquivos, o que resultou em uma execução remota de comando. A POC desta vulnerabilidade foi publicada, e o risco atrelado à vulnerabilidade é alto.
O GitLab é uma plataforma totalmente integrada para desenvolvimento de software baseada em Git. Se você for um usuário do GitLab, verifique seu sistema e implemente medidas para a mitigação de riscos à segurança prontamente.
Referência: https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/
II. Gravidade
Gravidade: importante
(Gravidade: baixa, moderada, importante e crítica)
III. Produtos afetados
Versões afetadas:
11.9 <= GitLab (CE/EE) < 13.8.8
13.9 <= GitLab (CE/EE) < 13.9.6
13.10 <= GitLab (CE/EE) < 13.10.3
Versões seguras:
GitLab (CE/EE) 13.8.8
GitLab (CE/EE) 13.9.6
GitLab (CE/EE) 13.10.3
IV. Tratamento da vulnerabilidade
Essa vulnerabilidade foi corrigida nos lançamentos oficiais mais recentes. Caso a sua versão faça parte do escopo afetado, atualize-a para uma segura.
Link: https://about.gitlab.com/update/
Observação: antes de corrigir vulnerabilidades, faça o backup dos seus arquivos e realize um teste completo.