Clasificada como
crítica, esta vulnerabilidad fue encontrada en GitLab Community Edition y
Enterprise Edition 10.1/10.2/10.2.4.
Seguramente conozcais
GitHub, sistema de control de versiones en git. GitLab es básicamente GitHub en
vuestros servidores, con sus ventajas y desventajas. Entre las desventajas
podemos destacar mantener al día las actualizaciones de seguridad tanto del
servidor como de GitLab.
Una función que aún
se desconoce del componente MilestoneFinder es afectada por esta
vulnerabilidad. A través de la manipulación de un input desconocido se causa
una vulnerabilidad de clase SQL Injection. Esto tiene repercusión sobre la
confidencialidad, integridad y disponibilidad.
Existe un error en el
componente MilestoneFinder que podría ser aprovechado por un atacante remoto
para realizar ataques de inyección SQL y afectar a la confidencialidad, la
integridad y a la disponibilidad.
No hay información
respecto a posibles contramedidas. Se recomienda actualizar a las últimas
versiones disponibles.
Mas información
·
Gitlab
CE and EE version 10.1, 10.2, and 10.2.4 are vulnerable to a SQL injection in
the MilestoneFinder component. https://www.cvedetails.com/cve/CVE-2017-0914/
·
GitLab
Security Release: 10.3.4, 10.2.6, and 10.1.6 https://about.gitlab.com/2018/01/16/gitlab-10-dot-3-dot-4-released/
Fuente: Hispasec