El 11 de enero de 2024, GitLab, proveedor líder de una plataforma de gestión de desarrollo de software, publicó una importante actualización de seguridad para solucionar vulnerabilidades identificadas.
Las vulnerabilidades fueron descubiertas por la comunidad de GitLab, que ayudó a la empresa a corregir errores en los mecanismos de autenticación, las comprobaciones de autorización en Slack/Mattermost, la creación de espacios de trabajo fuera del entorno nativo, la modificación de metadatos en commits y la omisión de la aprobación de CODEOWNERS.
En las versiones 16.1 a 16.7.2, se detectaron problemas con todos los mecanismos de autenticación: incluso los usuarios con autenticación de dos factores eran vulnerables a cierto nivel. La empresa recomendó actualizar el rango de versiones mencionado y habilitar la autenticación de dos factores para todas las cuentas.
Desde la versión 8.13 hasta la 16.7.2, los usuarios podían ejecutar comandos en nombre de otros usuarios en Slack y Mattermost debido al mal funcionamiento de la autenticación. Del mismo modo, hasta la versión 16.7.2, era posible crear espacios de trabajo en un grupo al que no se pertenecía. Esto creaba otro problema de seguridad al utilizar GitLab.
A partir de la versión 12.2, los metadatos de los commits firmados se modificaban debido a una verificación incorrecta de la firma del checkout. También había una forma de saltarse la aprobación de CODEOWNERS a partir de la versión 15.3 e incluyendo la versión 16.7.2.
En su mayor parte, todas las vulnerabilidades anteriores pueden resolverse actualizando a una versión más reciente de GitLab. Sin embargo, GitLab también recomienda habilitar la autenticación de dos factores (2FA) para todas las cuentas de GitLab, reinstalar todos los secretos con potencial de corrupción y examinar los repositorios en busca de cambios no autorizados.
