GitLab a publié un correctif pour une vulnérabilité de sécurité critique trouvée dans deux de ses produits, les utilisateurs étant invités à appliquer le correctif immédiatement.
GitLab est un progiciel DevOps permettant aux utilisateurs de développer, sécuriser et exploiter des logiciels utilisés par des équipes de développeurs qui ont besoin de gérer leur code à distance, et compte quelque 30 millions d’utilisateurs enregistrés, dont un million de clients payants.
La société a récemment découvert une faille de traversée de chemin, identifiée comme CVE-2023-2825. Cette vulnérabilité permet à des attaquants non authentifiés de lire des fichiers arbitraires sur le serveur, lorsque certaines conditions sont remplies. En conséquence, les acteurs de la menace pourraient lire des données sensibles telles que le code logiciel propriétaire, les informations d’identification des utilisateurs, etc., à partir de points finaux vulnérables. Aucun autre détail n’est disponible pour le moment, GitLab indiquant qu’il en dirait plus un mois après le patch.
Doublure argentée
La faille a reçu un score de gravité de 10/10 et a été trouvée dans GitLab Community Edition (CE) et Enterprise Edition (EE) version 16.0.0. Toutes les anciennes versions ne sont pas affectées, mais GitLab recommande toujours aux utilisateurs d’appliquer le correctif et de mettre les outils à niveau vers la version 16.0.1.
« Nous recommandons fortement que toutes les installations exécutant une version affectée par les problèmes décrits ci-dessous soient mises à niveau vers la dernière version dès que possible », a déclaré GitLab dans un avis de sécurité, publié avec le correctif. « Lorsqu’aucun type de déploiement spécifique (omnibus, code source, helm chart, etc.) d’un produit n’est mentionné, cela signifie que tous les types sont concernés. »
Pour exploiter la faille, il doit y avoir un attachement à un projet public imbriqué dans au moins cinq groupes, ont déclaré les chercheurs. La doublure argentée ici est que ce n’est pas la structure trouvée dans tous les projets GitHub. Néanmoins, la société a exhorté tout le monde à appliquer le correctif, car il n’y a pas de solution de contournement pour la faille, et il y a tout simplement trop en jeu.
Pour mettre à jour l’installation de GitLab, l’utilisateur doit suivre les instructions trouvées ici.
- Pour assurer la sécurité de vos locaux, assurez-vous de saisir l’un des meilleurs pare-feu dès maintenant
Via : BleepingComputer