GitLab corrige les failles critiques exposant les utilisateurs à des risques majeurs

Le géant des dépôts de code Open Source et des solutions DevOps, GitLab, a annoncé le 12 janvier 2024, la publication d'urgences de mises à jour de sécurité visant à remédier à des vulnérabilités critiques qui pourraient compromettre la sécurité des utilisateurs. L'annonce de ces mises à jour de sécurité survient après que le Cert.fr a émis une alerte concernant la vulnérabilité CVE-2023-7028, soulignant l'impact potentiellement grave de cette faille.

Selon plusieurs médias, cette vulnérabilité  a été repérée depuis la version 16.1.0, le 1er mai 1023. Plus loin, elle pouvait être exploitée en envoyant des courriels de réinitialisation de mot de passe à des adresses électroniques non vérifiées. En réponse à la correction de cette vulnérabilité, GitLab a réagi promptement en publiant des correctifs dans les versions 16.5.6, 16.6.4 et 16.7.2 de ses offres Community et Enterprise, ainsi que dans les mises à jour 16.1.6, 16.2.9, 16.3.7 et 16.4.5.

Par ailleurs, les utilisateurs sont vivement encouragés à appliquer ces correctifs sans délai pour se prémunir contre toute exploitation potentielle. Dans les versions précédentes, toutes les méthodes d'authentification étaient vulnérables, ce qui signifie que la sécurité de l'ensemble des comptes était en jeu. GitLab a noté que même les utilisateurs ayant activé l'authentification à deux facteurs étaient vulnérables à la réinitialisation du mot de passe, bien que la prise de contrôle du compte nécessiterait la validation du deuxième facteur d'authentification.

Il faut préciser que selon les experts, CVE-2023-7028 est évaluée à un score CVSS de 10. Ce qui suppose un risque élevé de prise de contrôle de comptes sans nécessiter d'interaction utilisateur.

GitLab encourage tous ses utilisateurs à mettre à jour rapidement leurs installations vers les versions corrigées afin de garantir la sécurité de leurs systèmes et données. La réactivité de l'entreprise à corriger ces failles souligne l'importance cruciale de la sécurité dans l'écosystème en constante évolution des solutions DevOps et des dépôts de code Open Source.

Source: CERT-FR

Koffi ACAKPO
Journaliste digital