CSIRT Panamá Aviso 2021-04-19: Múltiples vulnerabilidades en GitLab y Ruby

TOPICS:

Posted By: CSIRT Panamá April 20, 2021

CSIRT Panamá Aviso 2021-04-19: Múltiples vulnerabilidades en GitLab y Ruby

Gravedad: Alta
Fecha de publicación: Abril 19, 2021
Última revisión: Abril 19, 2021
Sistemas Afectados:
• GitLab Community Edition (CE)/Enterprise Edition (EE), versión 11.9 y posteriores.
• Ruby, versiones:
• 2.5.8 o anteriores,
• 2.6.7 o anteriores,
• 2.7.2 o anteriores,
• 3.0.1 o anteriores.
• REXML gem, versión 3.2.4 o anteriores.

III. Descripción
Afectación mediante 2 vulnerabilidades críticas que afectan a GitLab y REXML, de tipo ejecución remota de código (RCE) y conversión de documentos XML.
IV. Impacto
Vulnerabilidades presentes:
• Se ha descubierto una vulnerabilidad en GitLab CE/EE por la que no se validaban correctamente los archivos de imagen que se pasaban a un analizador de archivos, lo que daba lugar a la ejecución remota de comandos.
• CVE-2021-28965: Al parsear y serializar un documento XML especialmente diseñado, REXML gem (también el que se incluye con Ruby) puede crear un documento XML erróneo cuya estructura es diferente a la original.
III. Referencia a soluciones, herramientas e información
Actualización en:
• GitLab CE/EE, versiones 13.10.3, 13.9.6 y 13.8.8, mediante: https://about.gitlab.com/update/
• REXML gem a la versión 3.2.5 o posteriores, mediante: https://rubygems.org/gems/rexml/versions/3.2.5
Fuentes:
? Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Actualización de seguridad de Joomla. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-gitlab-y-ruby
? GitLab Critical Security Release: 13.10.3, 13.9.6, and 13.8.8. 14 de abril del 2021. Recopilado en: https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/
? CVE-2021-28965: XML round-trip vulnerability in REXML. 5 de abril del 2021. Recopilado en: https://www.ruby-lang.org/en/news/2021/04/05/xml-round-trip-vulnerability-in-rexml-cve-2021-28965/

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124