GitLab a publié des mises à jour de sécurité pour remédier à une vulnérabilité de gravité critique qui permet aux attaquants d’exécuter des pipelines en tant qu’autres utilisateurs via des politiques d’analyse de sécurité planifiées.

GitLab est une plateforme Web populaire de gestion de projets et de suivi des travaux de logiciels open source, proposant une version gratuite et commerciale.

La faille a été attribuée CVE-2023-4998 (score CVSS v3.1 : 9,6) et affecte les versions 13.12 à 16.2.7 de GitLab Community Edition (CE) et Enterprise Edition (EE) et les versions 16.3 à 16.3.4.

Le problème a été découvert par le chercheur en sécurité et chasseur de bogues Johan Carlsson, qui, selon GitLab, est un contournement d’un problème de gravité moyenne identifié comme CVE-2023-3932 et corrigé en août.

Le chercheur a découvert un moyen de contourner les protections mises en œuvre et a démontré un impact supplémentaire qui a élevé l’indice de gravité de la faille à un niveau de gravité critique.

L’usurpation d’identité d’utilisateurs à leur insu ou sans leur autorisation pour exécuter des tâches de pipeline (une série de tâches automatisées) pourrait amener les attaquants à accéder à des informations sensibles ou à abuser des autorisations de l’utilisateur usurpé pour exécuter du code, modifier des données ou déclencher des événements spécifiques dans le système GitLab.

Étant donné que GitLab est utilisé pour gérer le code, une telle compromission pourrait entraîner une perte de propriété intellectuelle, des fuites de données dommageables, des attaques de la chaîne d’approvisionnement et d’autres scénarios à haut risque.

Le bulletin de GitLab souligne la gravité de la vulnérabilité, invitant les utilisateurs à appliquer rapidement les mises à jour de sécurité disponibles.

« Nous recommandons fortement que toutes les installations exécutant une version affectée par les problèmes décrits ci-dessous soient mises à niveau vers la dernière version dès que possible. » -GitLab.
Les versions qui résolvent CVE-2023-4998 sont GitLab Community Edition et Enterprise Edition 16.3.4 et 16.2.7.

Pour les utilisateurs des versions antérieures à 16.2, qui n’ont pas reçu de correctifs pour le problème de sécurité, l’atténuation proposée consiste à éviter d’activer à la fois les « Transferts directs » et les « Politiques de sécurité ».

Si les deux fonctionnalités sont actives, l’instance est vulnérable, prévient le bulletin, il est donc conseillé aux utilisateurs de les activer une par une.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *