Se ha lanzado una actualización de seguridad para GitLab en sus versiones comunitaria (Community Edition – CE) y enterprise (Enterprise Edition – EE), para la corrección de vulnerabilidades críticas de Git, que permitirían a un atacante no autenticado provocar ataques del tipo heap-based buffer overflow y realizar ejecución de código arbitrario (RCE) en el sistema afectado.
Software afectado:
- GitLab Community Edition (CE) y Enterprise Edition (EE) versiones anteriores a 15.7.5, 15.6.6 y 15.5.9.
Información adicional:
- https://www.cert.gov.py/wp-content/uploads/2023/03/BOL-CERT-PY-2023-10-Vulnerabilidades-de-ejecucion-remota-de-codigo-RCE-en-GitLab.pdf
- https://www.bleepingcomputer.com/news/security/git-patches-two-critical-remote-code-execution-security-flaws/
- https://about.gitlab.com/releases/2023/01/17/critical-security-release-gitlab-15-7-5-released/
- https://nvd.nist.gov/vuln/detail/CVE-2022-41903
- https://nvd.nist.gov/vuln/detail/CVE-2022-23521
- https://github.com/git/git/security/advisories/GHSA-475x-2q3q-hvwq
- https://github.com/git/git/security/advisories/GHSA-c738-c5qq-xg89
- https://about.gitlab.com/update/