Vulnérabilités dans Gitlab Community Edition et Enterprise Edition
Date de publication :
Gitlab, la plateforme de développement collaborative, a publié un bulletin de sécurité évoquant la disponibilité de trois nouvelles versions. Il s’agit des versions 145.5.2, 14.5.3 et 14.4.5 pour les éditions suivantes : Gitlab Community Edition (CE) et Gitlab Enterprise Edition (EE).
Cette mise à jour permet d’apporter des correctifs concernant 12 vulnérabilités, en voici les 3 ayant un score élevé.
CVE-2022-0244 [Score CVSS v3.1: 8.6]
Une gestion incorrecte des fichiers a été identifié dans la plateforme. L’exploitation de cette vulnérabilité par un attaquant permet d’importer un groupe susceptible de lire n'importe quel fichier du dépôt.
CVE-2021-39946 [Score CVSS v3.1: 8.7]
Un contrôle incorrect des données entrées a été découvert dans la plateforme. Il est possible d'utiliser le générateur HTML pour emoji pour stocker du code malveillant. L’exploitation de cette vulnérabilité par un attaquant permet d'injecter du code malveillant et de stocker celui-ci sur la plateforme
CVE-2022-0154[Score CVSS v3.1: 7.5]
Un risque de falsification d’entrée de données a été identifié dans la plateforme. Il est possible d'utiliser des requêtes malveillantes permettant de transférer tout un projet sur le compte d’un autre utilisateur Gitlab.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Contournement de la politique de sécurité
Injection de commande
Atteinte à la confidentialité des données
Criticité
Score CVSS v3.1: 8.7 max
La faille est activement exploitée
Non, pour l’ensemble des CVE présentés.
Un correctif existe
Oui, pour l’ensemble des CVE présentés.
Une mesure de contournement existe
Non, pour l’ensemble des CVE présentés.
Les vulnérabilités exploitées sont du type
Pour la CVE-2022-0244
CWE: Inconnue
Pour la CVE-2021-39946
CWE: Inconnue
Pour la CVE-2022-0154
CWE: Inconnue
Détails sur l’exploitation
Pour la CVE-2022-0244
Vecteur d’attaque : réseau
Complexité de l’attaque : Faible
Privilèges nécessaires pour réaliser l’attaque : aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Pour la CVE-2021-39946
Vecteur d’attaque : réseau
Complexité de l’attaque : Faible
Privilèges nécessaires pour réaliser l’attaque : authentification utilisateur simple.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Pour la CVE-2022-0154
Vecteur d’attaque : réseau
Complexité de l’attaque : Haute
Privilèges nécessaires pour réaliser l’attaque : authentification utilisateur simple.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Composants vulnérables.
Pour la CVE-2022-0244
Toutes les deux éditions (CE / EE) et toutes les versions à partir de 14.5.
Pour la CVE-2021-39946
Toutes les deux éditions (CE / EE) et les versions 14.3 à 14.3.6, 14.4 à 14.4.4, et 14.5 à 14.5.2.
Pour la CVE-2022-0154
Les versions à partir de 7.7 avant 14.4.5, les versions à partir de 14.5.0 avant 14.5.3, et toutes les versions à partir de 14.6.0 avant 14.5.2.
Solutions ou recommandations
- Effectuer la mise à jour vers la version 145.5.2, 14.5.3 et 14.4.5.