Avis de sécurité GitLab du 22 mai 2024

GitLab publie le 22 mai 2024 un bulletin de sécurité conséquent.

Le 22 mai 2024, GitLab a publié un bulletin de sécurité crucial visant à corriger plusieurs vulnérabilités affectant ses produits Community Edition (CE) et Enterprise Edition (EE).

Ces vulnérabilités, classées de gravité élevée à moyenne, peuvent permettre à des attaquants de réaliser divers types d’attaques, notamment un déni de service à distance (DoS), l’exfiltration de jetons CSRF, une atteinte à la confidentialité des données et des injections de code indirectes à distance (XSS).

Détails des vulnérabilités

CVE-2024-4835 (Gravité élevée)

Description : Cette vulnérabilité permet la prise de contrôle d’un compte en un clic via une attaque XSS exploitant l’éditeur de code Web IDE de GitLab.
Impact : Un attaquant peut injecter du code malveillant qui s’exécute dans le contexte de l’utilisateur cible, compromettant ainsi la sécurité de son compte.

CVE-2024-2874 (Gravité moyenne)

Description : Une vulnérabilité de déni de service (DoS) dans le champ ‘description’ du runner.
Impact : Un attaquant pourrait exploiter cette vulnérabilité pour rendre le service GitLab indisponible, perturbant ainsi les opérations normales.

CVE-2023-7045 (Gravité moyenne)

Description : Une vulnérabilité CSRF via l’intégration de clusters Kubernetes. Un attaquant pourrait exfiltrer les jetons anti-CSRF via le Kubernetes Agent Server (KAS).
Impact : Cela pourrait permettre à un attaquant de contourner les mécanismes de protection CSRF et d’exécuter des actions malveillantes à l’insu de l’utilisateur.

CVE-2024-1947 (Gravité moyenne)

Description : Un utilisateur invité peut afficher les listes de dépendances des projets privés via des artefacts de travail.
Impact : Cela constitue une atteinte à la confidentialité des données, permettant à des utilisateurs non autorisés d’accéder à des informations sensibles sur les dépendances des projets.

CVE-2023-6502 (Gravité moyenne)

Description : Une vulnérabilité ReDoS (Regular Expression Denial of Service) sur l’API/page de rendu wiki.
Impact : Un attaquant pourrait exploiter cette vulnérabilité pour provoquer un déni de service en utilisant une page wiki contrefaite, ralentissant ou arrêtant les services dépendant de cette API.

Recommandations et correctifs

GitLab recommande vivement à tous les utilisateurs de mettre à jour leurs installations vers les versions corrigées suivantes : 17.0.1, 16.11.3 et 16.10.6 pour GitLab CE et EE. Ces mises à jour contiennent les correctifs nécessaires pour remédier aux vulnérabilités mentionnées.

Historique des bulletins de sécurité

GitLab publie régulièrement des bulletins de sécurité pour garantir la protection de ses utilisateurs. Le bulletin précédent, daté du 27 mars 2024, abordait également des vulnérabilités de gravité moyenne à élevée. Parmi elles, une vulnérabilité permettait un déni de service à distance, tandis qu’une autre permettait une injection de code indirecte à distance (XSS).

GitLab continue de démontrer son engagement envers la sécurité en identifiant et en corrigeant rapidement les vulnérabilités, garantissant ainsi un environnement sécurisé pour ses utilisateurs.

A propos de l'auteur

Retour en haut