Mettez à jour GitLab pour vous protéger d’une nouvelle faille critique (CVE-2023-2825)
Une mise à jour de sécurité est disponible pour GitLab ! L'éditeur recommande de l'installer en urgence pour corriger une vulnérabilité critique associée à la référence CVE-2023-2825 !
Pour rappel, GitLab est un outil très populaire auprès des développeurs et des devops qui permet de bénéficier de Git au travers d'une interface Web. Ce système est mondialement utilisé et il compte environ 30 millions d'utilisateurs ! La présentation étant faite, parlons de la faille de sécurité CVE-2023-2825.
Tout d'abord, il faut savoir que cette vulnérabilité a été découverte par un chercheur en sécurité surnommé "pwnie" et qu'il l'a remonté à GitLab au travers du programme de Bug bounty dispose sur HackOne.
Cette faille de sécurité hérite d'un score CVSS v3.1 de 10 sur 10, ce qui n'est pas anodin, et elle affecte aussi bien GitLab Community Edition (CE) que l'Enterprise Edition (EE), en version 16.0.0. Il est important de préciser que les versions antérieures ne sont pas affectées. A contrario, tous les types de déploiement sont affectés.
De type path transversal, cette vulnérabilité permet à un attaquant non authentifié de lire des fichiers sur le serveur. Ainsi, elle peut être à l'origine de fuites de données : code source, identifiants, jetons, fichiers, etc... Selon ce que l'on peut trouver sur vos dépôts. Pour que la vulnérabilité soit exploitable, il faut avoir une structure spécifique sur son dépôt, ce qui limite les risques. En effet, GitLab précise que la faille est exploitable "lorsqu'il existe une pièce jointe à un projet public imbriqué dans au moins cinq groupes."
Comment se protéger ?
Utilisateurs de GitLab en version 16.0.0, protégez-vous dès maintenant en installant la mise à jour 16.0.1 ! C'est ce que recommande aussi GitLab dans son bulletin de sécurité : "Nous recommandons vivement que toutes les installations utilisant une version affectée par les problèmes décrits ci-dessous soient mises à jour vers la dernière version dès que possible."
GitLab ne propose pas de solution de contournement pour atténuer la vulnérabilité en attendant d'installer le correctif. Donc, c'est actuellement la seule solution pour se protéger. Toutefois, comme la vulnérabilité peut être exploitée uniquement sous certaines conditions, vous pouvez être protégé malgré tout.
Les instructions de mise à jour sont disponibles sur le site officiel de GitLab.