GitLab a publié une version de sécurité importante qui corrige plusieurs failles, notamment un problème de lecture de fichiers arbitraire classé comme « critique » et deux vulnérabilités à fort impact.

Une mise à jour de la plate-forme de contrôle de version populaire publiée cette semaine corrige une vulnérabilité impliquant des scripts intersites (XSS) dans Notes, ainsi qu’une faille liée à l’authentification à fort impact impliquant un manque de paramètre d’état sur le projet d’importation GitHub OAuth.

Les utilisateurs de la plateforme DevOps sont fortement invités à effectuer une mise à niveau vers 14.6.2, 14.5.3 ou 14.4.5 pour GitLab Community Edition (CE) et Enterprise Edition (EE) afin de protéger leurs environnements.

La version offre également un soulagement de sept bogues de gravité modérée et de deux bogues de sécurité à faible risque.

Divulgation coordonnée

Les trois failles les plus graves ont été signalées à GitLab par des pirates éthiques via un programme de primes de bogues géré par HackerOne.

La gorgée quotidienne contacté les trois chercheurs en sécurité pour plus d’informations, mais nous n’avons encore rien entendu.

GitLab a publié un avis de sécurité qui résume le contenu de ses mises à jour de sécurité, mais sans entrer dans les détails.

Selon le résumé de GitLab, la vulnérabilité de lecture de fichier arbitraire découlait d’une gestion incorrecte des fichiers et impliquait la fonctionnalité d’importation de groupe.

L’un des problèmes de gravité élevée (suivi comme CVE-2021-39946) signifiait qu’il était possible d’abuser de la génération de code HTML lié aux emojis pour découvrir une vulnérabilité XSS stockée dans la fonctionnalité de notes de GitLab. « Une mauvaise neutralisation des entrées de l’utilisateur » était à blâmer pour le problème, selon GitLab.

L’autre vulnérabilité de gravité élevée rendait les instances GitLab vulnérables à une attaque de falsification de requête intersite (CSRF) qui « permet à un utilisateur malveillant d’importer son projet GitHub sur un autre compte d’utilisateur GitLab ».

La cause première du problème (CVE-2022-0154) était un manque de paramètre d’état sur le projet d’importation GitHub OAuth.

En réponse aux questions de La gorgée quotidienneGitLab a expliqué comment il fonctionne avec les pirates éthiques pour identifier les problèmes de sécurité.

Le programme GitLab Bug Bounty et les talentueux reporters de bug bounty du monde entier nous aident à renforcer notre produit en identifiant les vulnérabilités de sécurité. En février 2021, GitLab est passé à un programme de primes de bogues géré avec HackerOne. Cela nous permet d’adapter notre processus de tri des rapports, de filtrer le bruit, d’attirer les meilleurs chasseurs de primes du monde entier et, en fin de compte, de présenter plus rapidement les rapports les plus importants à nos équipes de sécurité et de développement.

La mise à jour de sécurité de GitLab cette semaine est la dernière édition de ses versions de sécurité mensuelles programmées. Celles-ci suivent normalement une semaine environ après les mises à jour qui introduisent de nouvelles fonctionnalités.

Cette histoire a été mise à jour pour ajouter un commentaire de GitLab