{"id":67606,"date":"2022-04-02T08:19:06","date_gmt":"2022-04-02T10:19:06","guid":{"rendered":"https:\/\/teknomers.com\/fr\/gitlab-publie-un-correctif-pour-une-vulnerabilite-critique-qui-pourrait-permettre-aux-attaquants-de-detourner-des-comptes\/"},"modified":"2022-04-02T08:19:13","modified_gmt":"2022-04-02T10:19:13","slug":"gitlab-publie-un-correctif-pour-une-vulnerabilite-critique-qui-pourrait-permettre-aux-attaquants-de-detourner-des-comptes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/gitlab-publie-un-correctif-pour-une-vulnerabilite-critique-qui-pourrait-permettre-aux-attaquants-de-detourner-des-comptes\/","title":{"rendered":"GitLab publie un correctif pour une vuln\u00e9rabilit\u00e9 critique qui pourrait permettre aux attaquants de d\u00e9tourner des comptes"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

La plate-forme DevOps GitLab a publi\u00e9 des mises \u00e0 jour logicielles pour r\u00e9soudre une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 critique qui, si elle \u00e9tait potentiellement exploit\u00e9e, pourrait permettre \u00e0 un adversaire de prendre le contr\u00f4le des comptes.<\/p>\n

Suivi comme CVE-2022-1162<\/strong>le probl\u00e8me a un score CVSS de 9,1 et aurait \u00e9t\u00e9 d\u00e9couvert en interne par l’\u00e9quipe GitLab.<\/p>\n

\"La<\/a><\/div>\n

“Un mot de passe cod\u00e9 en dur a \u00e9t\u00e9 d\u00e9fini pour les comptes enregistr\u00e9s \u00e0 l’aide d’un Fournisseur OmniAuth<\/a> (par exemple, OAuth, LDAP, SAML) dans GitLab CE\/EE versions 14.7 ant\u00e9rieures \u00e0 14.7.7, 14.8 ant\u00e9rieures \u00e0 14.8.5 et 14.9 ant\u00e9rieures \u00e0 14.9.2, permettant aux attaquants de prendre potentiellement le contr\u00f4le de comptes \u00bb, la soci\u00e9t\u00e9 mentionn\u00e9<\/a> dans un avis publi\u00e9 le 31 mars.<\/p>\n

GitLab, qui a r\u00e9solu le bogue avec la derni\u00e8re version des versions 14.9.2, 14.8.5 et 14.7.7 pour GitLab Community Edition (CE) et Enterprise Edition (EE), a \u00e9galement d\u00e9clar\u00e9 avoir pris l’initiative de r\u00e9initialiser le mot de passe de un nombre ind\u00e9termin\u00e9 d’utilisateurs par prudence.<\/p>\n

\"Vuln\u00e9rabilit\u00e9<\/div>\n

“Notre enqu\u00eate ne montre aucune indication que des utilisateurs ou des comptes ont \u00e9t\u00e9 compromis”, a-t-il ajout\u00e9.<\/p>\n

\"La<\/a><\/div>\n

La soci\u00e9t\u00e9 a \u00e9galement publi\u00e9 un sc\u00e9nario<\/a> que les administrateurs d’instances autog\u00e9r\u00e9es peuvent ex\u00e9cuter pour distinguer les comptes potentiellement impact\u00e9s par CVE-2022-1162. Une fois les comptes concern\u00e9s identifi\u00e9s, une r\u00e9initialisation du mot de passe a \u00e9t\u00e9 conseill\u00e9e.<\/p>\n

GitLab a \u00e9galement abord\u00e9 dans le cadre de la mise \u00e0 jour de s\u00e9curit\u00e9 deux bogues de script intersite stock\u00e9 (XSS) de haute gravit\u00e9 (CVE-2022-1175 et CVE-2022-1190) ainsi que neuf failles de gravit\u00e9 moyenne et cinq probl\u00e8mes qui sont class\u00e9 faible en gravit\u00e9.<\/p>\n

Compte tenu de la gravit\u00e9 de certains des probl\u00e8mes, il est fortement recommand\u00e9 aux utilisateurs ex\u00e9cutant des installations concern\u00e9es de mettre \u00e0 niveau vers la derni\u00e8re version d\u00e8s que possible.<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

La plate-forme DevOps GitLab a publi\u00e9 des mises \u00e0 jour logicielles pour r\u00e9soudre une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 critique qui, si elle \u00e9tait potentiellement exploit\u00e9e, pourrait permettre \u00e0 un adversaire de prendre le contr\u00f4le des comptes. Suivi comme CVE-2022-1162le probl\u00e8me a un score CVSS de 9,1 et aurait \u00e9t\u00e9 d\u00e9couvert en interne par l’\u00e9quipe GitLab. “Un […]<\/p>\n","protected":false},"author":1,"featured_media":67607,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[11865,507,4168,4493,32471,22,4158,4165,4161,133,31219,16897,4157,4159,4171,4170,4167,4160,4163,4162,5848,185,2102,2212,364,4172,4169,196,4166,3667,4164],"class_list":["post-67606","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaquants","tag-aux","tag-comment-pirater","tag-comptes","tag-correctif","tag-critique","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-detourner","tag-gitlab","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-permettre","tag-pour","tag-pourrait","tag-publie","tag-qui","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/67606","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=67606"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/67606\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/67607"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=67606"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=67606"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=67606"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}