GitLab a publié des mises à jour de sécurité pour corriger plusieurs failles dans Community Edition (CE) et Enterprise Edition (EE), y compris une faille critique d’exécution de pipeline de branche arbitraire.
La vulnérabilité, qui est suivie comme CVE-2024-9164, permet aux utilisateurs non autorisés de déclencher des pipelines d’Intégration continue/livraison continue (CI/CD) sur n’importe quelle branche d’un référentiel.
Les pipelines CI/CD sont des processus automatisés qui effectuent des tâches telles que la création, le test et le déploiement de code, normalement disponibles uniquement pour les utilisateurs disposant des autorisations appropriées.
Un attaquant capable de contourner les protections des succursales pourrait potentiellement exécuter du code ou accéder à des informations sensibles.
Le problème, qui a reçu une note CVSS v3.1 de 9,6, l’évaluant critique, affecte toutes les versions de GitLab EE à partir de 12.5 et jusqu’à 17.2.8, de 17.3 à 17.3.4 et de 17.4 à 17.4.1.
Des correctifs ont été mis à disposition dans les versions 17.4.2, 17.3.5 et 17.2.9, qui sont les cibles de mise à niveau pour les utilisateurs de GitLab.
« Nous recommandons fortement que toutes les installations exécutant une version affectée par les problèmes décrits ci-dessous soient mises à niveau vers la dernière version dès que possible », prévient le bulletin de sécurité de GitLab.
Il est précisé que les clients dédiés à GitLab n’ont aucune action à entreprendre, car leurs instances hébergées dans le cloud exécutent toujours la dernière version disponible.
Avec CVE-2024-9164, les dernières versions de GitLab résolvent les problèmes de sécurité ci-dessous:
- CVE-2024-8970: Faille d’usurpation d’identité arbitraire d’utilisateur de gravité élevée permettant aux attaquants de déclencher des pipelines en tant qu’autre utilisateur.
- CVE-2024-8977: Faille SSRF de gravité élevée dans le tableau de bord Analytics, rendant les instances vulnérables aux attaques CSRF.
- CVE-2024-9631: Défaut de gravité élevée entraînant des performances lentes lors de l’affichage des différences de demandes de fusion avec des conflits.
- CVE-2024-6530: Vulnérabilité d’injection HTML de gravité élevée dans la page OAuth permettant le script intersite pendant l’autorisation OAuth.
- CVE-2024-9623, CVE-2024-5005, CVE-2024-9596: Failles de gravité faible à moyenne, y compris le déploiement de clés poussées vers des référentiels archivés, les utilisateurs invités divulguant des modèles de projet via l’API et la divulgation de la version de l’instance GitLab aux utilisateurs non autorisés.
Les pipelines GitLab se sont récemment révélés être une source constante de vulnérabilités de sécurité pour la plate-forme et ses utilisateurs.
GitLab a corrigé des vulnérabilités arbitraires d’exécution de pipeline à plusieurs reprises cette année, notamment CVE-2024-6678 le mois dernier, CVE-2024-6385 en juillet et CVE-2024-5655 en juin, toutes jugées critiques.
Pour obtenir des instructions, du code source et des packages, consultez le portail de téléchargement officiel de GitLab. Les derniers packages GitLab Runner sont disponibles ici.