La plateforme DevOps GitLab a publié cette semaine des correctifs pour corriger une faille de sécurité critique dans son logiciel qui pourrait conduire à l’exécution de code arbitraire sur les systèmes concernés.
Suivi comme CVE-2022-2884le problème est noté 9,9 sur le système de notation des vulnérabilités CVSS et affecte toutes les versions de GitLab Community Edition (CE) et Enterprise Edition (EE) à partir de 11.3.4 avant 15.1.5, 15.2 avant 15.2.3 et 15.3 avant 15.3. 1.
À la base, la faiblesse de sécurité est un cas d’exécution de code à distance authentifiée qui peut être déclenchée via l’API d’importation GitHub. GitLab crédité yvvdwf avec la découverte et le signalement de la faille.
Bien que le problème ait été résolu dans les versions 15.3.1, 15.2.3, 15.1.5, les utilisateurs ont également la possibilité de se protéger contre la faille en désactivant temporairement l’option d’importation GitHub –
- Cliquez sur « Menu » -> « Admin »
- Cliquez sur « Paramètres » -> « Général »
- Développez l’onglet « Visibilité et contrôles d’accès »
- Sous « Importer des sources », désactivez l’option « GitHub »
- Cliquez sur « Enregistrer les modifications »
Il n’y a aucune preuve que le problème soit exploité dans des attaques dans la nature. Cela dit, il est recommandé aux utilisateurs exécutant une installation affectée de mettre à jour vers la dernière version dès que possible.
