GitLab a publié une mise à jour de sécurité d’urgence, la version 16.0.1, pour résoudre une faille de traversée de chemin de gravité maximale (score CVSS v3.1 : 10,0) suivie comme CVE-2023-2825.
GitLab est un référentiel Git basé sur le Web pour les équipes de développeurs qui ont besoin de gérer leur code à distance et compte environ 30 millions d’utilisateurs enregistrés et un million de clients payants.
La vulnérabilité corrigée dans la dernière mise à jour a été découverte par un chercheur en sécurité nommé « pwnie », qui a signalé le problème sur le programme de primes de bogues HackOne du projet.
Cela affecte GitLab Community Edition (CE) et Enterprise Edition (EE) version 16.0.0, mais toutes les versions antérieures à celle-ci ne sont pas affectées.
La faille provient d’un problème de traversée de chemin qui permet à un attaquant non authentifié de lire des fichiers arbitraires sur le serveur lorsqu’une pièce jointe existe dans un projet public imbriqué dans au moins cinq groupes.
L’exploitation de CVE-2023-2825 pourrait exposer des données sensibles, notamment du code logiciel propriétaire, des identifiants d’utilisateur, des jetons, des fichiers et d’autres informations privées.
Cette condition préalable suggère que le problème concerne la manière dont GitLab gère ou résout les chemins des fichiers joints imbriqués dans plusieurs niveaux de hiérarchie de groupe. Cependant, en raison de la criticité du problème et de la fraîcheur de sa découverte, peu de détails ont été divulgués par le fournisseur cette fois.
Au lieu de cela, GitLab a souligné l’importance d’appliquer la dernière mise à jour de sécurité sans délai.
« Nous recommandons fortement que toutes les installations exécutant une version affectée par les problèmes décrits ci-dessous soient mises à niveau vers la dernière version dès que possible », lit le bulletin de sécurité de GitLab.
« Lorsqu’aucun type de déploiement spécifique (omnibus, code source, helm chart, etc.) d’un produit n’est mentionné, cela signifie que tous les types sont concernés. »
Un facteur atténuant est que la vulnérabilité ne peut être déclenchée que dans des conditions spécifiques, c’est-à-dire lorsqu’il existe une pièce jointe dans un projet public imbriqué dans au moins cinq groupes, ce qui n’est pas la structure suivie dans tous les projets GitHub.
Néanmoins, il est recommandé à tous les utilisateurs de GitLab 16.0.0 de mettre à jour vers la version 16.0.1 dès que possible pour atténuer le risque. Malheureusement, aucune solution de contournement n’est disponible pour le moment.
Pour mettre à jour votre installation GitLab, suivez les instructions sur la page de mise à jour du projet. Pour les mises à jour de GitLab Runner, consultez ce guide.