{"id":1098560,"date":"2024-01-12T20:29:27","date_gmt":"2024-01-12T22:29:27","guid":{"rendered":"https:\/\/teknomers.com\/fr\/urgent-gitlab-publie-un-correctif-pour-les-vulnerabilites-critiques-mettre-a-jour-des-que-possible\/"},"modified":"2024-01-12T20:29:31","modified_gmt":"2024-01-12T22:29:31","slug":"urgent-gitlab-publie-un-correctif-pour-les-vulnerabilites-critiques-mettre-a-jour-des-que-possible","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/urgent-gitlab-publie-un-correctif-pour-les-vulnerabilites-critiques-mettre-a-jour-des-que-possible\/","title":{"rendered":"Urgent\u00a0: GitLab publie un correctif pour les vuln\u00e9rabilit\u00e9s critiques &#8211; Mettre \u00e0 jour d\u00e8s que possible"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">12 janvier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">DevSecOps \/ S\u00e9curit\u00e9 logicielle<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Urgent-GitLab-publie-un-correctif-pour-les-vulnerabilites-critiques.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>GitLab a publi\u00e9 des mises \u00e0 jour de s\u00e9curit\u00e9 pour corriger deux vuln\u00e9rabilit\u00e9s critiques, dont une qui pourrait \u00eatre exploit\u00e9e pour prendre le contr\u00f4le de comptes sans aucune interaction de l&#8217;utilisateur.<\/p>\n<p>Suivi comme <strong>CVE-2023-7028<\/strong>la faille a re\u00e7u la gravit\u00e9 maximale de 10,0 sur le syst\u00e8me de notation CVSS et pourrait faciliter la prise de contr\u00f4le de compte en envoyant des e-mails de r\u00e9initialisation de mot de passe \u00e0 une adresse e-mail non v\u00e9rifi\u00e9e.<\/p>\n<p>La plateforme DevSecOps a d\u00e9clar\u00e9 que la vuln\u00e9rabilit\u00e9 \u00e9tait le r\u00e9sultat d&#8217;un bug dans le processus de v\u00e9rification des e-mails, qui permettait aux utilisateurs de r\u00e9initialiser leur mot de passe via une adresse e-mail secondaire.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/BHcgTukm\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1704092918_732_Nouveau-JinxLoader-ciblant-les-utilisateurs-avec-les-logiciels-malveillants-Formbook.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Cela affecte toutes les instances autog\u00e9r\u00e9es de GitLab Community Edition (CE) et Enterprise Edition (EE) utilisant les versions ci-dessous\u00a0:<\/p>\n<ul>\n<li>16.1 avant 16.1.6<\/li>\n<li>16.2 avant 16.2.9<\/li>\n<li>16.3 avant 16.3.7<\/li>\n<li>16.4 avant 16.4.5<\/li>\n<li>16.5 avant 16.5.6<\/li>\n<li>16.6 avant 16.6.4<\/li>\n<li>16.7 avant 16.7.2<\/li>\n<\/ul>\n<p>GitLab a d\u00e9clar\u00e9 avoir r\u00e9solu le probl\u00e8me dans les versions 16.5.6, 16.6.4 et 16.7.2 de GitLab, en plus de r\u00e9troporter le correctif vers les versions 16.1.6, 16.2.9, 16.3.7 et 16.4.5.  La soci\u00e9t\u00e9 a en outre not\u00e9 que le bug avait \u00e9t\u00e9 introduit dans la version 16.1.0 le 1er mai 2023.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/3UvK59NV\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Nouveau-JinxLoader-ciblant-les-utilisateurs-avec-les-logiciels-malveillants-Formbook.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Au sein de ces versions, tous les m\u00e9canismes d&#8217;authentification sont impact\u00e9s&#8221;, GitLab <a rel=\"nofollow noopener\" href=\"https:\/\/about.gitlab.com\/releases\/2024\/01\/11\/critical-security-release-gitlab-16-7-2-released\/\" target=\"_blank\">dit<\/a>.  &#8220;De plus, les utilisateurs pour lesquels l&#8217;authentification \u00e0 deux facteurs est activ\u00e9e sont vuln\u00e9rables \u00e0 la r\u00e9initialisation du mot de passe, mais pas au piratage du compte, car leur deuxi\u00e8me facteur d&#8217;authentification est requis pour se connecter.&#8221;<\/p>\n<p>Une autre faille critique (CVE-2023-5356, score CVSS\u00a0: 9,6) a \u00e9galement \u00e9t\u00e9 corrig\u00e9e par GitLab dans le cadre de la derni\u00e8re mise \u00e0 jour. <a rel=\"nofollow noopener\" href=\"https:\/\/docs.gitlab.com\/ee\/user\/project\/integrations\/slack_slash_commands.html\" target=\"_blank\">Mou<\/a>\/<a rel=\"nofollow noopener\" href=\"https:\/\/docs.gitlab.com\/ee\/user\/project\/integrations\/mattermost_slash_commands.html\" target=\"_blank\">Le plus important<\/a> int\u00e9grations pour ex\u00e9cuter des commandes slash en tant qu&#8217;autre utilisateur.<\/p>\n<p>Pour att\u00e9nuer toute menace potentielle, il est conseill\u00e9 de mettre \u00e0 niveau les instances vers une version corrig\u00e9e d\u00e8s que possible et d&#8217;activer 2FA, si ce n&#8217;est d\u00e9j\u00e0 fait, en particulier pour les utilisateurs disposant de privil\u00e8ges \u00e9lev\u00e9s.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/urgent-gitlab-releases-patch-for.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80212 janvier 2024\ue804R\u00e9dactionDevSecOps \/ S\u00e9curit\u00e9 logicielle GitLab a publi\u00e9 des mises \u00e0 jour de s\u00e9curit\u00e9 pour corriger deux vuln\u00e9rabilit\u00e9s critiques, dont une qui pourrait \u00eatre exploit\u00e9e pour prendre le contr\u00f4le de comptes sans aucune interaction de l&#8217;utilisateur. Suivi comme CVE-2023-7028la faille a re\u00e7u la gravit\u00e9 maximale de 10,0 sur le syst\u00e8me de notation CVSS et [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1098561,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,4168,32471,5729,4165,4161,200267,133,16897,3995,4159,4171,65,200271,6454,200268,200269,200270,185,2212,128318,4172,4169,4038,4166,4164,12365],"class_list":["post-1098560","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-comment-pirater","tag-correctif","tag-critiques","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-des","tag-gitlab","tag-jour","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel-malveillant-rancongiciel","tag-mettre","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-pour","tag-publie","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-urgent","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-vulnerabilites"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1098560","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1098560"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1098560\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1098561"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1098560"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1098560"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1098560"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}