Résumé
[Mise à jour du 29 janvier 2024]
Le 25 janvier 2024, l'éditeur a publié un avis de sécurité concernant
plusieurs vulnérabilités affectant GitLab CE et EE.
La vulnérabilité CVE-2024-0402 est considérée critique avec un score
CVSSv3 de 9,9. Elle permet à un attaquant authentifié d'écrire des
fichiers à un emplacement arbitraire.
[Publication initiale]
Le 11 janvier 2024, l'éditeur a publié un avis de sécurité concernant
plusieurs vulnérabilités affectant GitLab CE et EE.
La plus critique est la vulnérabilité CVE-2023-7028. Elle permet à un
attaquant non authentifié d'envoyer un courriel de réinitialisation de
mot de passe de n'importe quel utilisateur à une adresse arbitraire.
L'attaquant peut ainsi, par le biais d'une simple requête HTTP POST,
prendre le contrôle d'un compte dont il connaitrait le courriel.
Le score CVSSv3 de la vulnérabilité CVE-2023-7028 est de 10 (sur 10).
Son exploitation est triviale et le CERT-FR anticipe la publication de
codes d'exploitations publics dans les heures à venir.
L'éditeur recommande de vérifier:
- dans le journal d'activité "gitlab-rails/production_json.log", la
présence de requêtes HTTP, sur le chemin "/users/password",
contenant plusieurs adresses courriel;
- dans le journal d'activité "gitlab-rails/audit_json.log", la
présence d'identifiants correspondant à "PasswordsController#create"
avec des "target_details" composé d'un tableau comprenant plusieurs
adresses courriel.
Le CERT-FR recommande donc d'appliquer les correctifs dans les plus
brefs délais et d'activer l'authentification à multiples facteurs,
notamment sur les comptes à hauts privilèges.