Correctif de sécurité critique GitLab du 31 Mars 2022

5/5 - (2 votes)

Correctif de sécurité critique GitLab du 31 Mars 2022

La vulnérabilité critique de GitLab permet aux attaquants de prendre le contrôle des comptes. GitLab a résolu une vulnérabilité de gravité critique qui pourrait permettre à des attaquants distants de prendre le contrôle de comptes d’utilisateurs à l’aide de mots de passe codés en dur. Le bogue (découvert en interne et suivi en tant que CVE-2022-1162 ) affecte à la fois GitLab Community Edition (CE) et Enterprise Edition (EE). (Sources)


GitLab  est un logiciel libre de forge basé sur git proposant les fonctionnalités de wiki, un système de suivi des bugs, l’intégration continue et la livraison continue. Développé par GitLab Inc et créé par Dmitriy Zaporozhets et par Valery Sizov, le logiciel est utilisé par plusieurs grandes entreprises informatiques, dont IBM et Sony.

En savoir plus sur GitLab Critical Security Release : 14.9.2, 14.8.5 et 14.7.7 pour GitLab Community Edition (CE) et Enterprise Edition (EE). Mots de passe statiques définis par inadvertance lors de l’enregistrement basé sur OmniAuth. Un mot de passe codé en dur a été défini pour les comptes enregistrés à l’aide d’un fournisseur OmniAuth (par exemple OAuth, LDAP, SAML) dans GitLab CE/EE versions 14.7 antérieures à 14.7.7, 14.8 antérieures à 14.8.5 et 14.9 antérieures à 14.9.2 permettant aux attaquants de potentiellement reprendre des comptes.  Il s’agit d’un problème de gravité critique, il est maintenant atténué dans la dernière version et est attribué CVE-2022-1162. (Sources)


Un mot de passe est un mot ou une série de caractères utilisés comme moyen d'authentification pour prouver son identité lorsque l'on désire accéder à un lieu protégé, à un compte informatique, un ordinateur, un logiciel ou à un service dont l'accès est limité et protégé. Le mot de passe doit être tenu secret pour éviter qu'un tiers non autorisé puisse accéder à la ressource ou au service.

C'est une méthode parmi d'autres pour vérifier qu'une personne correspond bien à l'identité déclarée. Il s'agit d'une preuve que l'on possède et que l'on communique au service chargé d'autoriser l'accès. Selon la CNIL, Pour constituer un mot de passe fort, il faut douze caractères ou plus et que votre phrase contienne au moins un nombre, une majuscule, un signe de ponctuation ou un caractère spécial (dollar, dièse, ...) et une douzaine de mots. L'authentification multifacteur (MFA) est plus sûr que le mot de passe


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004.

Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

Retour haut de page