GitLab a publié des mises à jour critiques pour corriger plusieurs vulnérabilités, la plus grave d’entre elles (CVE-2024-6678) permettant à un attaquant de déclencher des pipelines en tant qu’utilisateurs arbitraires sous certaines conditions.
La version concerne les versions 17.3.2, 17.2.5 et 17.1.7 pour GitLab Community Edition (CE) et Enterprise Edition (EE), et corrige un total de 18 problèmes de sécurité dans le cadre des mises à jour de sécurité bimensuelles (programmées).
Avec un score de gravité critique de 9,9, la vulnérabilité CVE-2024-6678 pourrait permettre à un attaquant d’exécuter des actions d’arrêt de l’environnement en tant que propriétaire du travail d’action d’arrêt.
La gravité de la faille provient de son potentiel d’exploitation à distance, du manque d’interaction de l’utilisateur et des faibles privilèges requis pour l’exploiter.
GitLab avertit que le problème affecte les versions CE/EE de 8.14 à 17.1.7, les versions de 17.2 antérieures à 17.2.5 et les versions de 17.3 antérieures à 17.3.2.
Nous recommandons fortement que toutes les installations exécutant une version affectée par les problèmes décrits ci-dessous soient mises à niveau vers la dernière version dès que possible. – GitLab
Les pipelines GitLab sont des flux de travail automatisés utilisés pour créer, tester et déployer du code, qui font partie du système CI/CD (Intégration continue/Livraison continue) de GitLab.
Ils sont conçus pour rationaliser le processus de développement logiciel en automatisant les tâches répétitives et en veillant à ce que les modifications apportées à la base de code soient testées et déployées de manière cohérente.
GitLab a corrigé des vulnérabilités arbitraires d’exécution de pipeline à plusieurs reprises au cours des derniers mois, notamment en juillet 2024, pour corriger CVE-2024-6385, en juin 2024, pour corriger CVE-2024-5655 et en septembre 2023 pour corriger CVE-2023-5009, tous jugés critiques.
Le bulletin répertorie également quatre problèmes de gravité élevée avec des scores compris entre 6,7 et 8,5, qui pourraient potentiellement permettre aux attaquants de perturber les services, d’exécuter des commandes non autorisées ou de compromettre des ressources sensibles. Les problèmes sont résumés comme suit:
- CVE-2024-8640: En raison d’un filtrage incorrect des entrées, des attaquants pouvaient injecter des commandes dans un serveur Cube connecté via une configuration YAML, compromettant potentiellement l’intégrité des données. Impacts GitLab EE à partir du 16.11.
- CVE-2024-8635: Des attaquants pourraient exploiter une vulnérabilité CSRF (Server-Side Request Forgery) en créant une URL de proxy de dépendance Maven personnalisée pour effectuer des requêtes vers des ressources internes, compromettant ainsi l’infrastructure interne. Affecte GitLab EE à partir de 16.8.
- CVE-2024-8124: Les attaquants pouvaient déclencher une attaque DoS en envoyant un paramètre ‘glm_source ‘ volumineux, surchargeant le système et le rendant indisponible. Impacts GitLab CE / EE à partir de 16.4.
- CVE-2024-8641: Les attaquants pouvaient exploiter un CI_JOB_TOKEN pour accéder au jeton de session GitLab d’une victime, leur permettant de détourner une session. Affecte GitLab CE / EE à partir de 13.7.
Pour les instructions de mise à jour, le code source et les packages, consultez le portail de téléchargement officiel de GitLab. Les derniers packages GitLab Runner sont disponibles ici.