La plate-forme DevOps GitLab a publié des mises à jour logicielles pour résoudre une vulnérabilité de sécurité critique qui, si elle était potentiellement exploitée, pourrait permettre à un adversaire de prendre le contrôle des comptes.
Suivi comme CVE-2022-1162le problème a un score CVSS de 9,1 et aurait été découvert en interne par l’équipe GitLab.
« Un mot de passe codé en dur a été défini pour les comptes enregistrés à l’aide d’un Fournisseur OmniAuth (par exemple, OAuth, LDAP, SAML) dans GitLab CE/EE versions 14.7 antérieures à 14.7.7, 14.8 antérieures à 14.8.5 et 14.9 antérieures à 14.9.2, permettant aux attaquants de prendre potentiellement le contrôle de comptes », la société mentionné dans un avis publié le 31 mars.
GitLab, qui a résolu le bogue avec la dernière version des versions 14.9.2, 14.8.5 et 14.7.7 pour GitLab Community Edition (CE) et Enterprise Edition (EE), a également déclaré avoir pris l’initiative de réinitialiser le mot de passe de un nombre indéterminé d’utilisateurs par prudence.
« Notre enquête ne montre aucune indication que des utilisateurs ou des comptes ont été compromis », a-t-il ajouté.
La société a également publié un scénario que les administrateurs d’instances autogérées peuvent exécuter pour distinguer les comptes potentiellement impactés par CVE-2022-1162. Une fois les comptes concernés identifiés, une réinitialisation du mot de passe a été conseillée.
GitLab a également abordé dans le cadre de la mise à jour de sécurité deux bogues de script intersite stocké (XSS) de haute gravité (CVE-2022-1175 et CVE-2022-1190) ainsi que neuf failles de gravité moyenne et cinq problèmes qui sont classé faible en gravité.
Compte tenu de la gravité de certains des problèmes, il est fortement recommandé aux utilisateurs exécutant des installations concernées de mettre à niveau vers la dernière version dès que possible.