Governo adverte para vulnerabilidade gravíssima no GitLab

O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) advertiu às instituições aderentes à Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC) e demais entidades/instituições que identifiquem em seus inventários de ativos a existência de instâncias GitLab vulneráveis e apliquem as atualizações disponibilizadas pelo desenvolvedor.

O problema está relacionado à biblioteca rubysaml (CVE -2024-45409, com gravidade CVSS grau 10,0), que permite a um invasor fazer login como um usuário qualquer. A principal causa da vulnerabilidade reside na verificação incorreta da assinatura da resposta SAML. SAML (Security Assertion Markup Language) é um protocolo que permite Single Sign On ( SSO ) e comunicações de autenticação e autorização entre aplicativos e sites.

O GitLab publicou atualizações de segurança para correção de falhas críticas que afetam o GitLab Community Edition (CE) e Enterprise Edition (EE). As falhas foram catalogadas na CVE-2024-45409 e, se exploradas por agentes maliciosos, permitem o contorno do sistema de autenticação e o acesso a instâncias do GitLab, conforme publicado em: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-45409

O GitLab publicou as medidas de resolução do caso, disponíveis em: https://about.gitlab.com/releases/2024/09/17/patch-release-gitlab-17-3-3-released/