GitLab Community Edition (CE) y GitLab Enterprise Edition (EE) se han parcheado para corregir una falla importante con respecto a las contraseñas codificadas, reveló la compañía.
En un aviso que acompaña al parche, GitLab explicó cómo la falla le dio a los atacantes potenciales la capacidad de tomar el control completo de los puntos finales vulnerables.
La vulnerabilidad gira en torno a cómo el software genera una contraseña falsa segura para la prueba. Hay tres elementos: User.password_length.max, un número máximo de caracteres definido por el usuario para una contraseña, DEFAULT_LENGTH, que está codificado en 12 caracteres, y la contraseña segura falsa para la prueba: «[email protected]#».
La diferencia entre los dos primeros factores se rellena con ceros.
Vulnerabilidades de alta gravedad
Entonces, por ejemplo, si un usuario estableciera un número máximo de caracteres para una contraseña de 21, el software combinaría «[email protected]#» con un número de ceros para alcanzar ese máximo. En este ejemplo en particular, sería «[email protected]#000000000», y esta contraseña otorgaría acceso a todas las cuentas creadas con OmniAuth.
El error se rastrea como CVE-2022-1162 y recibió una puntuación de gravedad de 9,1.
Fue descubierto y reparado por el equipo de GitLab y, supuestamente, no se abusó de él por naturaleza, y la empresa afirmó que hasta ahora no se han robado las identidades de los usuarios.
«Realizamos un restablecimiento de contraseña de GitLab.com para un conjunto selecto de usuarios a partir de las 3:38 p.m. UTC [Thursday]», se lee en el aviso. «Nuestra investigación no muestra indicios de que los usuarios o las cuentas hayan sido comprometidos, pero estamos tomando medidas de precaución para la seguridad de nuestros usuarios.
GitLab es un software DevOps que proporciona una ventanilla única para los desarrolladores que buscan construir, asegurar y operar su software. Las últimas versiones del software alojado en la nube incluyen 14.9.2, 14.8.5 y 14.7.7, y los desarrolladores instan a los usuarios a aplicar parches de inmediato.
Se han solucionado un total de 12 fallas con estos parches, incluida una vulnerabilidad XSS almacenada. Según datos de la empresa, GitLab tiene un millón de usuarios activos.
Vía: El Registro
