GitLab ha informado de 3 vulnerabilidades que afectan a GitLab Community Edition (CE),  Enterprise Edition (EE) que permitirían un desbordamiento de enteros, lo que podría provocar una ejecución remota de código.

Recursos afectados:

Versiones anteriores a 15.7.5, 15.6.6 y 15.5.9 de GitLab Community Edition (CE) y Enterprise Edition (EE). Todos los tipos de despliegue (omnibus, source code, helm chart, etc.) están afectados.

Descripción:

Las vulnerabilidades corregidas permiten un desbordamiento de enteros que podría dar lugar a escrituras de memoria arbitrarias, provocando una ejecución remota de código. En un caso, la vulnerabilidad afecta al comando git-log, pudiendo desencadenarse por un usuario que invoque las opciones de formato. Para esta vulnerabilidad se ha asignado el identificador CVE-2022-41903. La otra vulnerabilidad afecta a las rutas definidas en el atributo gitattributes, pudiendo ocurrir múltiples desbordamientos al analizar estas rutas cuando hay una gran cantidad de patrones. Se ha asignado el identificador CVE-2022-23521 para esta vulnerabilidad.

Una tercera vulnerabilidad de severidad alta afecta la versión de Windows del software Git GUI y también podría conducir a la ejecución de código arbitrario. Se a asignado el identificador CVE-2022-41953 para esta vulnerabilidad.

Recomendaciones:

GitLab recomienda actualizar a las versiones 15.7.5, 15.6.6 y 15.5.9 de GitLab Community Edition (CE) y Enterprise Edition (EE) lo antes posible.

Referencias:

• https://about.gitlab.com/releases/2023/01/17/critical-security-release-gitlab-15-7-5-released/
• https://github.blog/2023-01-17-git-security-vulnerabilities-announced-2/
• https://www.cert.europa.eu/publications/security-advisories/2023