Multiples Vulnérabilités dans GitLab

RISQUES DE SÉCURITÉ

  • Exécution de code arbitraire à distance
  • Contournement de la politique de sécurité

SYSTÈMES AFFECTÉS
Les versions 16.5.6, 16.6.4 et 16.7.2 initialement recommandées ne doivent plus être utilisées.

  • Gitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.1.x antérieures à 16.1.6
  • Gitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.2.x antérieures à 16.2.9
  • Gitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.3.x antérieures à 16.3.7
  • Gitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.4.x antérieures à 16.4.5
  • Gitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.5.x antérieures à 16.5.8
  • Gitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.6.x antérieures à 16.6.6
  • Gitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.7.x antérieures à 16.7.4
  • Gitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.8.x antérieures à 16.8.1

RÉSUMÉ

Le 25 janvier 2024, l'éditeur a publié un avis de sécurité concernant plusieurs vulnérabilités affectant GitLab CE et EE. La vulnérabilité CVE-2024-0402 est considérée critique avec un score CVSSv3 de 9,9. Elle permet à un attaquant authentifié d'écrire des fichiers à un emplacement arbitraire.

Le 11 janvier 2024, l'éditeur a publié un avis de sécurité concernant plusieurs vulnérabilités affectant GitLab CE et EE. La plus critique est la vulnérabilité CVE-2023-7028. Elle permet à un attaquant non authentifié d'envoyer un courriel de réinitialisation de mot de passe de n'importe quel utilisateur à une adresse arbitraire. L'attaquant peut ainsi, par le biais d'une simple requête HTTP POST, prendre le contrôle d'un compte dont il connaitrait le courriel.

Le score CVSSv3 de la vulnérabilité CVE-2023-7028 est de 10 (sur 10). Son exploitation est triviale et le CERT-FR anticipe la publication de codes d'exploitations publics dans les heures à venir.

L'éditeur recommande de vérifier:

  • dans le journal d'activité "gitlab-rails/production_json.log", la présence de requêtes HTTP, sur le chemin "/users/password", contenant plusieurs adresses courriel;
  • dans le journal d'activité "gitlab-rails/audit_json.log", la présence d'identifiants correspondant à "PasswordsController#create" avec des "target_details" composé d'un tableau comprenant plusieurs adresses courriel.

Le CERT-FR recommande donc d'appliquer les correctifs dans les plus brefs délais et d'activer l'authentification à multiples facteurs, notamment sur les comptes à hauts privilèges.

SOLUTION
Se référer aux bulletins de sécurité GitLab du 11 janvier 2024 et GitLab du 25 janvier 2024 pour l'obtention des correctifs.


Source: CERT FR