[MàJ] Multiples Vulnérabilités dans GitLab
Alerte Cyber

[MàJ] Multiples Vulnérabilités dans GitLab

artia13 28 Views

Les versions des systèmes affectés ont été mises à jour à la suite du nouveau bulletin de sécurité du 25 janvier 2024. Les versions 16.5.6, 16.6.4 et 16.7.2 initialement recommandées ne doivent plus être utilisées.

Résumé

[Mise à jour du 29 janvier 2024]

Le 25 janvier 2024, l’éditeur a publié un avis de sécurité concernant
plusieurs vulnérabilités affectant GitLab CE et EE.

La vulnérabilité CVE-2024-0402 est considérée critique avec un score
CVSSv3 de 9,9. Elle permet à un attaquant authentifié d’écrire des
fichiers à un emplacement arbitraire.

[Publication initiale]

Le 11 janvier 2024, l’éditeur a publié un avis de sécurité concernant
plusieurs vulnérabilités affectant GitLab CE et EE.

La plus critique est la vulnérabilité CVE-2023-7028. Elle permet à un
attaquant non authentifié d’envoyer un courriel de réinitialisation de
mot de passe de n’importe quel utilisateur à une adresse arbitraire.
L’attaquant peut ainsi, par le biais d’une simple requête HTTP POST,
prendre le contrôle d’un compte dont il connaitrait le courriel.

Le score CVSSv3 de la vulnérabilité CVE-2023-7028 est de 10 (sur 10).
Son exploitation est triviale et le CERT-FR anticipe la publication de
codes d’exploitations publics dans les heures à venir.

L’éditeur recommande de vérifier:

  • dans le journal d’activité « gitlab-rails/production_json.log », la
    présence de requêtes HTTP, sur le chemin « /users/password »,
    contenant plusieurs adresses courriel;
  • dans le journal d’activité « gitlab-rails/audit_json.log », la
    présence d’identifiants correspondant à « PasswordsController#create »
    avec des « target_details » composé d’un tableau comprenant plusieurs
    adresses courriel.

Le CERT-FR recommande donc d’appliquer les correctifs dans les plus
brefs délais et d’activer l’authentification à multiples facteurs,
notamment sur les comptes à hauts privilèges.

Auteur :

Aller à la source

artia13

Depuis 1998, je poursuis une introspection constante qui m’a conduit à analyser les mécanismes de l’information, de la manipulation et du pouvoir symbolique. Mon engagement est clair : défendre la vérité, outiller les citoyens, et sécuriser les espaces numériques. Spécialiste en analyse des médias, en enquêtes sensibles et en cybersécurité, je mets mes compétences au service de projets éducatifs et sociaux, via l’association Artia13. On me décrit comme quelqu’un de méthodique, engagé, intuitif et lucide. Je crois profondément qu’une société informée est une société plus libre.

artia13 has 4875 posts and counting. See all posts by artia13

Vous Aimerez Peut-être Aussi

🚨 Alerte soldes d’été : voici les 7 conseils à suivre pour ne pas tomber dans le piège des hackers

🚨 Alerte soldes d’été : voici les 7 conseils à suivre pour ne pas tomber dans le piège des hackers

artia13
Faut-il s’appuyer uniquement sur sa propre équipe pour sécuriser son entreprise ?

Faut-il s’appuyer uniquement sur sa propre équipe pour sécuriser son entreprise ?

artia13
VPN sur PS5 : comment installer une protection efficace sur votre console PlayStation ?

VPN sur PS5 : comment installer une protection efficace sur votre console PlayStation ?

artia13