Actus

La mise à jour de sécurité de GitLab corrige une faille critique de prise de contrôle de compte

Par , le 4 juin 2022 - 3 minutes de lecture
La mise à jour de sécurité de GitLab corrige une faille critique de prise de contrôle de compte
Notez l'article

GitLab a publié une mise à jour de sécurité critique pour plusieurs versions de ses produits Community et Enterprise Edition afin de corriger huit vulnérabilités, dont l’une permet la prise de contrôle de compte.

GitLab est un référentiel Git basé sur le Web pour les équipes de développeurs qui ont besoin de gérer leur code à distance. Il compte environ 30 millions d’utilisateurs enregistrés et un million de clients payants.

Obtenir le contrôle d’un compte GitLab a de graves conséquences car les pirates pourraient accéder aux projets des développeurs et voler le code source.

Suivie comme CVE-2022-1680 et notée avec un score de gravité critique de 9,9, la vulnérabilité affecte toutes les versions de GitLab 11.10 à 14.9.4, 14.10 à 14.10.3 et la version 15.0.

Selon l’avis de l’entreprise, l’exploitation de la faille est possible sur des instances avec une configuration spécifique, et le potentiel d’abus est réduit par la présence de l’authentification à deux facteurs (2FA) sur les comptes ciblés.

“Lorsque le groupe SAML SSO est configuré, la fonctionnalité SCIM peut permettre à tout propriétaire d’un groupe Premium d’inviter des utilisateurs arbitraires via leur nom d’utilisateur et leur e-mail, puis de modifier les adresses e-mail de ces utilisateurs via SCIM en une adresse e-mail contrôlée par l’attaquant et ainsi – dans le absence de 2FA – prendre en charge ces comptes. Il est également possible pour l’attaquant de modifier le nom d’affichage et le nom d’utilisateur du compte ciblé.” – GitLab

Fixation et remédiation

Fixation et remédiation

Le problème a été résolu avec des mises à jour de sécurité pour toutes les succursales concernées. Tous les utilisateurs de GitLab doivent passer aux dernières versions disponibles dès que possible.

Pour obtenir des instructions sur la façon de mettre à jour GitLab, visitez ce portail. Pour GitLab Runner, vous pouvez utiliser ce référentiel.

De plus, pour vérifier si la protection d’accès SAML (Security Assertion Markup Language) est active, les administrateurs peuvent consulter cette page Web d’instructions contenant des conseils sur la configuration de cette fonctionnalité selon la stratégie souhaitée.

Vulnérabilités de haute gravité

Vulnérabilités de haute gravité

Les mises à jour de sécurité contiennent des correctifs pour deux autres failles de gravité élevée. Le premier est un problème de script intersite (XSS) dans le composant d’intégration Jira suivi comme CVE-2022-1940 ; il est livré avec un indice de gravité de 7,7.

La seconde est une validation manquante de l’entrée qui permet l’injection HTML dans les détails de la liste de contacts et l’activation des attaques XSS. Il est suivi comme CVE-2022-1948 et a un indice de gravité de 8,7.

Les cinq vulnérabilités restantes sont des problèmes de contournement de la liste d’autorisation IP, une autorisation incorrecte dans le terminal Web, un accès incorrect des membres du groupe et un contournement de verrouillage.

  • AIPHONE Module de mise à jour data 4g pour hecomgsm, hetas et hetase - AIPHONE HEBOX4G
    Module de mise à jour DATA 4G pour HECOMGSM, HETAS et HETASE - Abonnement 12 ans inclus
  • AIPHONE Module de mise à jour GPRS pour HEPLUS & HECOMGSM - Aiphone HEBOXINT 150030
    MOD.MAJ DATA Centrale - Aiphone 150030
  • AIPHONE Gtbvhsbm P.Video Mod.A Defil.Sans Bm - AIPHONE GTBVHSBM 200285
    platine vidéo modulaire à défilement de noms et mise à jour des noms par badge

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.