• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Corregida vulnerabilidad crítica en GitLab

Corregida vulnerabilidad crítica en GitLab

8 abril, 2022 Por Julián J. Menéndez Deja un comentario

GitLab ha corregido recientemente una vulnerabilidad que, de ser explotada, podría permitir la toma de control de cuentas de usuario en la plataforma.

Registrada como CVE-2022-1162, obtiene una puntuación de 9.1 en la escala CVSS. En versiones vulnerables, se establece una contraseña predecible al registrar una cuenta utilizando un proveedor de autenticación externo, como OAuth, LDAP, SAML, etc. 

El origen del fallo se remonta a un commit realizado en diciembre de 2021, donde se modifica la contraseña a utilizar en estos casos. A juzgar por el título de dicho commit, JH need more complex passwords, parece ser fruto de un despiste a la hora de modificar numerosos test unitarios:

Dicha modificación reemplaza una contraseña generada de manera aleatoria, con otra destinada únicamente a pruebas, y de valor predecible:

Las versiones que corrigen el problema son la 14.9.2, 14.8.5 y 14.7.7. El commit relevante revierte completamente el introducido en diciembre.

Por su parte, la empresa ha restablecido las credenciales de las cuentas afectadas en gitlab.com, pero es responsabilidad de cada administrador realizar el update lo antes posible a una versión actualizada. Asimismo, pone a disposición un script con el que obtener un listado de cuentas potencialmente afectadas.

Más información:
https://about.gitlab.com/releases/2022/03/31/critical-security-release-gitlab-14-9-2-released/
https://thehackernews.com/2022/04/gitlab-releases-patch-for-critical.html
https://gitlab.com/gitlab-org/gitlab/-/commit/e2fb87ec5d4e235d6b83454980cec9c049849a1c#f4d654b98cc11d931e3f77ee61318adc95a52f12

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Malware en Android

Análisis Forense Digital

Spring Boot & Angular

Publicado en: General Etiquetado como: cvss, GitLab, vulnerabilidad

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • Tencent admite un ataque de código QR en su plataforma de chat QQ.com
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes

Entradas recientes

  • Tencent admite un ataque de código QR en su plataforma de chat QQ.com
  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos
  • El Bridge Horizon de Harmony Protocol, sufre un robo de 100 Millones de dólares
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Tencent admite un ataque de código QR en su plataforma de chat QQ.com
  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...