Dos

O GitLab lançou atualizações de patch (18.3.2, 18.2.6 e 18.1.6) para suas edições Community e Enterprise, abordando vulnerabilidades críticas que podem resultar em negação de serviço (DoS) e ataques de Server-Side Request Forgery (SSRF). As instalações autogeridas devem atualizar imediatamente, pois a versão do GitLab.com já está corrigida. A vulnerabilidade mais grave (CVE-2025-6454) permite que usuários autenticados injetem sequências maliciosas em cabeçalhos personalizados de Webhook, potencialmente desencadeando requisições internas indesejadas. Com um CVSS de 8.5, essa falha representa um risco significativo à confidencialidade e integridade dos dados. Além disso, duas falhas de DoS de alta severidade (CVE-2025-2256 e CVE-2025-1250) podem permitir que atacantes esgotem recursos do sistema. O GitLab recomenda que os administradores atualizem suas instalações sem demora, garantindo a segurança contra esses riscos. As versões afetadas vão da 7.8 até antes das versões de patch mencionadas, e a atualização é essencial para evitar a exploração dessas vulnerabilidades.

Pesquisadores identificaram uma nova técnica de ataque chamada MadeYouReset, que afeta várias implementações do protocolo HTTP/2, permitindo a realização de ataques de negação de serviço (DoS) em larga escala. Essa vulnerabilidade contorna o limite de 100 requisições HTTP/2 simultâneas por conexão TCP, que foi estabelecido para mitigar ataques DoS. Com o MadeYouReset, um atacante pode enviar milhares de requisições, causando a exaustão de recursos do servidor e, em alguns casos, levando a falhas de memória. A vulnerabilidade foi identificada com o CVE-2025-8671 e impacta produtos como Apache Tomcat, F5 BIG-IP e Netty. O ataque explora a forma como os servidores lidam com o quadro RST_STREAM, permitindo que um atacante induza o servidor a resetar streams válidos, sem precisar enviar um quadro RST_STREAM. Essa técnica representa uma evolução nas vulnerabilidades do HTTP/2, que já enfrentou outros ataques como Rapid Reset e CONTINUATION Flood. O CERT/CC alertou que a complexidade dos abusos de protocolos modernos torna a proteção contra ataques como o MadeYouReset mais crítica do que nunca.