GitLab a corrigé une vulnérabilité critique qui signifiait que des mots de passe statiques étaient définis par inadvertance lors de l’enregistrement basé sur OmniAuth, ce qui exposait les comptes à un risque de piratage malveillant.

La plate-forme DevOps a également corrigé une paire de bogues de script intersite stocké (XSS) de haute gravité dans le cadre de son version de sécurité mensuelle pour mars. La même mise à jour traite également neuf problèmes de gravité moyenne et cinq problèmes à faible impact.

Les utilisateurs de GitLab ont été invités à mettre à jour leurs installations immédiatement vers les dernières versions, qui sont 14.9.2, 14.8.5 et 14.7.7 pour Community Edition (CE) et Enterprise Edition (EE). GitLab.com exécute déjà une version corrigée.

Problème d’identification critique

La faille critique, qui est suivie comme CVE-2022-1162, a vu des mots de passe codés en dur définis pour les comptes enregistrés via OmniAuth fournisseurs.

Avec un score CVSS de 9,1, la vulnérabilité affecte les versions GitLab CE et EE 14.7 jusqu’à 14.7.7, 14.8 jusqu’à 14.8.5 et 14.9 jusqu’à 14.9.2.

Après avoir découvert le bogue en interne, GitLab « a exécuté une réinitialisation des mots de passe GitLab.com pour un ensemble sélectionné d’utilisateurs », bien qu’il ait assuré aux utilisateurs que son enquête n’avait montré « aucune indication que des utilisateurs ou des comptes aient été compromis ».

L’un des problèmes XSS stockés – CVE-2022-1175 – a permis aux attaquants d’injecter du HTML dans les notes en raison d’une « neutralisation incorrecte de l’entrée de l’utilisateur ». L’autre faille XSS (CVE-2022-1190), qui a été imputée à une mauvaise gestion des entrées de l’utilisateur, a permis l’abus de références d’étapes à plusieurs mots dans les descriptions de problèmes, les commentaires, etc.

Les deux vulnérabilités XSS ont obtenu un score CVSS de 8,7. Les versions concernées sont de 14.7.7 à 14.4 pour CVE-2022-1175 et à 8.3 pour CVE-2022-1190 ; et toutes les versions 14.8 jusqu’à 14.8.5 plus toutes les versions 14.9 jusqu’à 14.9.2 pour les deux CVE.

Le crédit pour les découvertes est respectivement dû à ‘joaxcar’ et ‘ryhmnlfj’, les pirates qui ont signalé les bogues via le programme de primes de bogues HackerOne de GitLab

GitLab a également signalé des mises à jour de sécurité pour commonmarker, Mattermost, Swagger, go-proxyproto et Devise qui affectent toutes les versions des éditions GitLab CE et EE.

Une version de sécurité pour Grafana, quant à elle, affecte toutes les versions de GitLab Omnibus, tandis qu’une mise à jour Python affecte toutes les versions de GitLab Charts.