Une faille critique dans GitLab à cause d’un mot de passe codé en dur !
GitLab a corrigé une faille de sécurité critique qui permet à un attaquant de prendre le contrôle de comptes utilisateurs à cause d'un mot de passe codé en dur.
Découverte en interne par les équipes de GitLab, la vulnérabilité CVE-2022-1162 touche aussi bien l'édition Community que l'édition Enterprise de GitLab. Ce qui est surprenant, c'est l'origine de cette faille : l'utilisation de mots de passe statiques (c'est-à-dire codé en dur !) lors de l'enregistrement basé sur OmniAuth dans GitLab Community Edition et Enterprise Edition.
Au sein du bulletin de sécurité officiel, GitLab précise : "Un mot de passe codé en dur était défini pour les comptes enregistrés à l'aide d'un fournisseur OmniAuth (par exemple, OAuth, LDAP, SAML) dans GitLab CE/EE, pour les versions 14.7 antérieures à 14.7.7, 14.8 antérieures à 14.8.5 et 14.9 antérieures à 14.9.2, ce qui peut permettre aux attaquants de prendre le contrôle des comptes."
Pour vous protéger et bloquer les éventuelles attaques, GitLab recommande de passer par la case mise à jour pour installer une version patchée : 14.7.7, 14.8.5 ou 14.9.2.
Deux jours avant la mise en ligne de ces nouvelles versions, les développeurs de GitLab ont apporté une modification au code source et ils ont supprimé un fichier nommé "lib/gitlab/password.rb". Ce fichier semble lié à la faille de sécurité évoquée dans cet article, car il permettait d'assigner un mot de passe faible et codé en dur à la constante "TEST_DEFAULT".
Par mesure de précaution, GitLab a pris la décision de forcer la réinitialisation du mot de passe de certains utilisateurs afin de les protéger contre une potentielle attaque.
Pour le moment, et toujours d'après l'éditeur, il n'y aurait pas eu de compromission de comptes, et les équipes de sécurité surveillent de près l'évolution de la situation afin d'identifier les comptes vulnérables à la faille CVE-2022-1162.
GitLab est une solution très populaire auprès des entreprises et des développeurs, avec plus de 30 millions de comptes utilisateurs présents dans le monde entier.