Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
732
)
-
▼
julio
(Total:
28
)
- El Dorado ransomware: objetivo máquinas virtuales ...
- Batocera es una retroconsola para PC y Android
- Recopilación de 10 mil millones de contraseñas
- Limitar el ancho de banda en Linux
- Rack SSD
- Servidor Blade vs. Servidor de Rack vs. Servidor d...
- ChatGPT para Mac expuso las conversaciones de mill...
- Roban 33 millones de números de teléfono del famos...
- La UE podría eliminar la exención aduanera a los p...
- Google Drive ahora es Booteable
- Organismo rector de la Fórmula 1 revela una filtra...
- Google Chrome bloqueará los certificados TLS de En...
- Apple veta la emulación de PCs «retro» en iOS
- 54 detenidos por estafar más de 2 millones de euro...
- YouTube permite solicitar el borrado de vídeos gen...
- Primer cable Thunderbolt 5 con una velocidad 120 G...
- Los adultos Españoles que quieran entrar en webs p...
- Japón bate el récord de banda ancha superando los ...
- Wise alerta de un hackeo masivo con robo de datos ...
- Detenido autor puntos de acceso Wifi falsos en aer...
- regreSSHion: 14 millones de servidores OpenSSH vul...
- NFC - ¿Qué es, cómo funciona y qué riesgos de segu...
- WhatsApp publica su planificador de eventos para g...
- Meta deja de publicar parches de seguridad para el...
- Cisco desactiva servicio OpenDNS para Francia y Po...
- Red corporativa de TeamViewer hackeada por el gurp...
- Vulnerabilidades críticas en GitLab
- Microsoft cree que es correcto robar contenido de ...
-
▼
julio
(Total:
28
)
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Meses después de que se descubriera en enero la llamada "madre de todas las brechas", se ha publicado en Internet otra filtració...
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En marzo surgió un nuevo ransomware como servicio (RaaS) llamado Eldorado y viene con variantes de cifradores para VMware ESXi y Windows....
Vulnerabilidades críticas en GitLab
GitLab ha publicado actualizaciones de seguridad para abordar 14 fallas de seguridad, incluida una vulnerabilidad crítica que podría explotarse para ejecutar canales de integración e implementación continuas (CI/CD) como cualquier usuario. GitLab publica actualizaciones críticas para varias vulnerabilidades: CVE-2024-5655 CVE-2024-4901 CVE-2024-4994
Afecta a las siguientes versiones de CE y EE:
- 17.1 anterior a 17.1.1
- 17.0 anterior a 17.0.3, y
- 15.8 antes del 16.11.5
Las debilidades, que afectan a GitLab Community Edition (CE) y Enterprise Edition (EE), se solucionaron en las versiones 17.1.1, 17.0.3 y 16.11.5.
La más grave de las vulnerabilidades es CVE-2024-5655 (puntuación CVSS: 9,6), que podría permitir a un actor malintencionado activar una canalización como otro usuario en determinadas circunstancias.
GitLab dijo que la solución introduce dos cambios importantes como resultado de los cuales la autenticación GraphQL usando CI_JOB_TOKEN está deshabilitada de forma predeterminada y las canalizaciones ya no se ejecutarán automáticamente cuando se redireccione una solicitud de fusión después de fusionar su rama de destino anterior.
Algunas de las otras fallas importantes solucionadas como parte de la última versión se enumeran a continuación:
- CVE-2024-4901 (puntuación CVSS: 8,7): una vulnerabilidad XSS almacenada podría importarse desde un proyecto con notas de confirmación maliciosas
- CVE-2024-4994 (puntuación CVSS: 8,1): un ataque CSRF a la API GraphQL de GitLab que conduce a la ejecución de mutaciones arbitrarias de GraphQL
- CVE-2024-6323 (puntuación CVSS: 7,5): una falla de autorización en la función de búsqueda global que permite la filtración de información confidencial desde un repositorio privado dentro de un proyecto público.
- CVE-2024-2177 (puntuación CVSS: 6,8): una vulnerabilidad de falsificación que permite a un atacante abusar del flujo de autenticación OAuth mediante una carga útil especialmente diseñada.
Si bien no hay evidencia de explotación activa de las fallas, se recomienda a los usuarios que apliquen los parches para mitigar posibles amenazas.
Fuente: THN
Vía:
https://blog.segu-info.com.ar/2024/06/vulnerabilidades-criticas-en-gitlab.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.