La version de sécurité de GitLab corrige une vulnérabilité critique d'écrasement de fichier
GitLab a récemment publié d'importants correctifs afin de remédier à une vulnérabilité de sécurité critique affectant à la fois sa Community Edition (CE) et sa Enterprise Edition (EE). La faille, identifiée comme CVE-2024-0402, a un score CVSS de 9,9 sur 10 et pourrait permettre à des attaquants d'écrire des fichiers arbitraires lors de la création d'un espace de travail.
GitLab a révélé dans un avis que la vulnérabilité affecte toutes les versions de 16.0 avant 16.5.8, 16.6 avant 16.6.6, 16.7 avant 16.7.4, et 16.8 avant 16.8.1 dans CE/EE. Cette faille permet aux utilisateurs authentifiés d'écrire des fichiers à des emplacements arbitraires sur le serveur GitLab lors de la création d'un espace de travail. La société a également reporté des correctifs pour ce problème dans les versions 16.5.8, 16.6.6, 16.7.4, et 16.8.1. Cependant, GitLab 16.5.8 n'inclut pas d'autres correctifs à l'exception de cette vulnérabilité.
Autres failles de sécurité corrigées dans GitLab
En plus de corriger la vulnérabilité critique, cette version de sécurité a également résolu quatre failles de gravité moyenne dans GitLab. Ces failles sont les suivantes :
CVE-2023-6159 (score de gravité CVSS : 6.5 Moyen)
Une vulnérabilité a été identifiée dans les versions 12.7 à 16.6.6, 16.7 à 16.7.4 et 16.8 à 16.8.1 de GitLab CE/EE. Les attaquants peuvent exploiter cette vulnérabilité en utilisant une entrée malicieusement conçue dans un fichier Cargo.toml, conduisant à un déni de service par expression régulière.
CVE-2023-5933 (score de gravité CVSS : 6.4 Moyen)
Une vulnérabilité a été découverte dans les versions 13.7 à 16.6.6, 16.7 à 16.7.4, et 16.8 à 16.8.1 de GitLab CE/EE. Une mauvaise vérification des entrées des noms d'utilisateurs permet des requêtes API PUT arbitraires.
CVE-2023-5612 (Score de gravité CVSS : 5.3 Moyen)
Une vulnérabilité a été identifiée dans GitLab pour toutes les versions antérieures à 16.6.6, 16.7 avant 16.7.4, et 16.8 avant 16.8.1. Malgré la désactivation de la visibilité des courriels des profils utilisateurs, il était toujours possible d'accéder aux adresses électroniques des utilisateurs via le flux de tags.
CVE-2024-0456 (score de gravité CVSS : 4.3 Moyen)
Une vulnérabilité d'autorisation a été découverte dans les versions de GitLab allant de 14.0 à 16.6.6, 16.7 à 16.7.4, et 16.8 à 16.8.1. Cela permet à des attaquants non autorisés d'assigner des utilisateurs arbitraires à des demandes de fusion (MR) qu'ils ont créées dans le projet.
Conclusion
Cette dernière version de sécurité de GitLab intervient deux semaines seulement après que GitLab a corrigé deux vulnérabilités critiques, dont l'une pouvait être exploitée pour prendre le contrôle de comptes sans aucune interaction de l'utilisateur(CVE-2023-7028, CVSS score : 10.0). Afin de limiter les risques potentiels, il est vivement conseillé aux utilisateurs de mettre à jour leurs installations GitLab vers les versions corrigées dès que possible.
Les sources de cet article comprennent un article de TheHackerNews et les communiqués de GitLab.