GitLab : Mettez vite à jour vos serveurs suite à une faille critique !

15 Jan 2024 à 11:57 par larevuegeek - 308 vues - 0 com.

Logiciels Dev

GitLab a récemment annoncé des mises à jour importantes pour corriger deux vulnérabilités critiques. Ces failles, identifiées comme CVE-2023-2825 et CVE-2023-7028, représentaient un risque majeur pour les utilisateurs de la plateforme, offrant potentiellement à des acteurs malveillants la capacité de prendre le contrôle de comptes utilisateu

2 vulnérabilités critiques :

La première vulnérabilité, CVE-2023-2825, notée d'un score maximal de 10 sur l'échelle CVSS, permettait une prise de contrôle de comptes sans aucune interaction de l'utilisateur. GitLab a identifié cette faille comme étant présente dans son logiciel depuis la version 16.1.0, datant du 1er mai de l'année dernière.

La seconde vulnérabilité, CVE-2023-7028, impliquait un risque lié au processus de réinitialisation de mot de passe. Cette faille permettait l'envoi de courriels de réinitialisation de mot de passe à une adresse électronique non vérifiée, ce qui pouvait faciliter la prise de contrôle d'un compte utilisateur.

En plus de ces deux vulnérabilités majeures, GitLab a également corrigé une autre faille critique, CVE-2023-5356 (score CVSS : 9.6), qui permettait à un utilisateur de détourner des intégrations Slack/Mattermost pour exécuter des commandes slash sous l'identité d'un autre utilisateur.

Plusieurs versions corrigées

GitLab a rapidement réagi en publiant des correctifs pour ces vulnérabilités. Les versions corrigées du logiciel sont les 16.5.6, 16.6.4, 16.7.2, ainsi que les mises à jour intermédiaires 16.1.6, 16.2.9, 16.3.7, et 16.4.5, couvrant à la fois les offres Community et Enterprise. La société a souligné l'importance pour tous les utilisateurs de mettre à jour leur installation de GitLab vers ces versions pour garantir la sécurité de leurs données et de leurs opérations.

GitLab a précisé que, même si les utilisateurs ayant activé l'authentification à deux facteurs (2FA) sont moins susceptibles d'être victimes de la prise de contrôle de compte, ils restent vulnérables à la réinitialisation du motde passe. En conséquence, la mise à jour vers les dernières versions est fortement recommandée pour tous les utilisateurs, indépendamment de l'utilisation de 2FA.

Merci Bug Bounty !

Ces vulnérabilités ont été initialement signalées grâce au programme de bug bounty de GitLab, soulignant l'efficacité de tels programmes dans la détection proactive des failles de sécurité. En outre, le Cert.fr a contribué à sensibiliser le public en émettant une notification concernant ces vulnérabilités, démontrant l'importance de la collaboration entre les entreprises technologiques et les organisations de sécurité.