O GitLab abordou uma vulnerabilidade crítica, rastreada como CVE-2022-1162 (pontuação CVSS de 9,1), que pode permitir que invasores remotos assumam contas de usuários
A vulnerabilidade CVE-2022-1162 está relacionada ao conjunto de senhas estáticas codificadas durante o registro baseado em OmniAuth no GitLab CE/EE.
“Uma senha codificada foi definida para contas registradas usando um provedor OmniAuth (por exemplo, OAuth, LDAP, SAML) no GitLab CE/EE versões 14.7 anteriores a 14.7.7, 14.8 anteriores a 14.8.5 e 14.9 anteriores a 14.9.2 permitindo que invasores para potencialmente assumir contas. Este é um problema de gravidade crítica”, diz o comunicado publicado pelo GitLab. “Recomendamos fortemente que todas as instalações que executam uma versão afetada pelos problemas descritos abaixo sejam atualizadas para a versão mais recente o mais rápido possível.”
O bug foi resolvido com a versão mais recente das versões 14.9.2, 14.8.5 e 14.7.7 para GitLab Community Edition (CE) e Enterprise Edition (EE). A empresa também anunciou a redefinição de senha de um número não especificado de usuários como medida de precaução.
“Executamos uma redefinição de senhas do GitLab.com para um conjunto selecionado de usuários às 15h38 UTC. Nossa investigação não mostra nenhuma indicação de que usuários ou contas foram comprometidos, mas estamos tomando medidas de precaução para a segurança de nossos usuários.” continua a assessoria.
A empresa desenvolveu um script que pode ser usado para identificar contas de usuários potencialmente impactadas pelo CVE-2022-1162.
Ao encontrar contas de usuários potencialmente afetadas, os administradores precisam redefinir as senhas dos usuários.
Fonte: Security Affairs e DCiber