ClickCease La version de sécurité de GitLab corrige une vulnérabilité critique d'écrasement de fichier

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

La version de sécurité de GitLab corrige une vulnérabilité critique d'écrasement de fichier

Rohan Timalsina

Le 12 février 2024 - L'équipe d'experts de TuxCare

GitLab a récemment publié d'importants correctifs afin de remédier à une vulnérabilité de sécurité critique affectant à la fois sa Community Edition (CE) et sa Enterprise Edition (EE). La faille, identifiée comme CVE-2024-0402, a un score CVSS de 9,9 sur 10 et pourrait permettre à des attaquants d'écrire des fichiers arbitraires lors de la création d'un espace de travail.

GitLab a révélé dans un avis que la vulnérabilité affecte toutes les versions de 16.0 avant 16.5.8, 16.6 avant 16.6.6, 16.7 avant 16.7.4, et 16.8 avant 16.8.1 dans CE/EE. Cette faille permet aux utilisateurs authentifiés d'écrire des fichiers à des emplacements arbitraires sur le serveur GitLab lors de la création d'un espace de travail. La société a également reporté des correctifs pour ce problème dans les versions 16.5.8, 16.6.6, 16.7.4, et 16.8.1. Cependant, GitLab 16.5.8 n'inclut pas d'autres correctifs à l'exception de cette vulnérabilité.

 

Autres failles de sécurité corrigées dans GitLab

 

En plus de corriger la vulnérabilité critique, cette version de sécurité a également résolu quatre failles de gravité moyenne dans GitLab. Ces failles sont les suivantes :

CVE-2023-6159 (score de gravité CVSS : 6.5 Moyen)

Une vulnérabilité a été identifiée dans les versions 12.7 à 16.6.6, 16.7 à 16.7.4 et 16.8 à 16.8.1 de GitLab CE/EE. Les attaquants peuvent exploiter cette vulnérabilité en utilisant une entrée malicieusement conçue dans un fichier Cargo.toml, conduisant à un déni de service par expression régulière.

 

CVE-2023-5933 (score de gravité CVSS : 6.4 Moyen)

Une vulnérabilité a été découverte dans les versions 13.7 à 16.6.6, 16.7 à 16.7.4, et 16.8 à 16.8.1 de GitLab CE/EE. Une mauvaise vérification des entrées des noms d'utilisateurs permet des requêtes API PUT arbitraires.

CVE-2023-5612 (Score de gravité CVSS : 5.3 Moyen)

Une vulnérabilité a été identifiée dans GitLab pour toutes les versions antérieures à 16.6.6, 16.7 avant 16.7.4, et 16.8 avant 16.8.1. Malgré la désactivation de la visibilité des courriels des profils utilisateurs, il était toujours possible d'accéder aux adresses électroniques des utilisateurs via le flux de tags.

CVE-2024-0456 (score de gravité CVSS : 4.3 Moyen)

Une vulnérabilité d'autorisation a été découverte dans les versions de GitLab allant de 14.0 à 16.6.6, 16.7 à 16.7.4, et 16.8 à 16.8.1. Cela permet à des attaquants non autorisés d'assigner des utilisateurs arbitraires à des demandes de fusion (MR) qu'ils ont créées dans le projet.

 

Conclusion

 

Cette dernière version de sécurité de GitLab intervient deux semaines seulement après que GitLab a corrigé deux vulnérabilités critiques, dont l'une pouvait être exploitée pour prendre le contrôle de comptes sans aucune interaction de l'utilisateur(CVE-2023-7028, CVSS score : 10.0). Afin de limiter les risques potentiels, il est vivement conseillé aux utilisateurs de mettre à jour leurs installations GitLab vers les versions corrigées dès que possible.

 

Les sources de cet article comprennent un article de TheHackerNews et les communiqués de GitLab.

Résumé
La version de sécurité de GitLab corrige une vulnérabilité critique d'écrasement de fichier
Nom de l'article
La version de sécurité de GitLab corrige une vulnérabilité critique d'écrasement de fichier
Description
Découvrez la dernière version de sécurité de GitLab qui corrige plusieurs failles, dont une vulnérabilité critique permettant l'écrasement de fichiers.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information