Falha crítica no GitLab permite controlo de contas por atacantes
O GitLab revelou ter corrigido uma vulnerabilidade grave na sua plataforma que, quando explorada, poderia permitir a atacantes controlarem as contas dos utilizadores usando as suas senhas encriptadas.
A falha afeta tanto o GitLab Community Edition (CE) como o Enterprise Edition (EE). De acordo com o comunicado da entidade, a forma como as senhas das contas de utilizadores eram criadas nestes programas permitia a possíveis atacantes obterem acesso às contas usando as informações guardadas pelos mesmos no sistema. A falha poderia ser explorada quando as senhas eram criadas por um método baseado em OmniAuth.
A entidade recomenda que todos os utilizadores atualizem as suas instalações do GitLab para as versões 14.9.2, 14.8.5, ou 14.7.7, de forma a bloquear potenciais ataques direcionados à mesma.
A GitLab informa ainda que, como forma de mitigar o problema, alguns utilizadores poderão ser questionados para realizarem o reset das suas senhas, de forma a evitar a exploração das falhas para ataques. Até ao momento não se acredita que a falha tenha sido ativamente explorada para ataques, mas tendo em conta que é agora conhecida poderá começar a ser.
De acordo com os dados mais recentes, cerca de 100.000 entidades fazem uso da plataforma DevOps da empresa, juntamente com 30 milhões de utilizadores registados em 66 países.