Certains articles de veille peuvent faire l'objet de traduction automatique.
GitLab a récemment déployé une mise à jour d’urgence, corrigeant une vulnérabilité de traversée de chemin critique. Les utilisateurs doivent s’assurer d’exécuter les dernières versions corrigées pour éviter les risques potentiels.
Path Traversal Vulnerability Riddled Gitlab
Selon un récent bulletin de sécurité de GitLab, le service a déployé une autre mise à jour majeure de la plate-forme. Comme décrit, une vulnérabilité de gravité critique existait dans GitLab qui pourrait permettre à un adversaire distant non authentifié d’accéder aux fichiers d’un projet public.
Plus précisément, la société a décrit le problème comme une vulnérabilité de traversée de chemin permettant la lecture de fichiers arbitraires. Un attaquant peut exploiter la faille pour « lire des fichiers arbitraires sur le serveur lorsqu’une pièce jointe existe dans un projet public imbriqué dans au moins cinq groupes ».
GitLab a étiqueté cette faille (CVE-2023-2825) avec un indice de gravité maximum, lui attribuant un score CVSS de 10,0. La vulnérabilité affectait généralement GitLab Community Edition (CE) et Enterprise Edition (EE) version 16.0.0. Et la firme a corrigé le problème avec la sortie de la version 16.0.1 pour GitLab CE/EE.
En plus de publier le correctif, GitLab a crédité le chercheur en sécurité « pwnie » pour avoir signalé le bogue via son programme de primes de bogues HackerOne.
Pour l’instant, le service s’est abstenu de partager plus de détails sur la vulnérabilité. Apparemment, c’est une sage décision compte tenu de la nature hautement critique de la faille et des risques potentiels qu’elle pourrait entraîner pour les utilisateurs de GitLab si elle était exploitée à l’état sauvage.
Les versions Web de GitLab n’ont pas besoin d’autres informations de la part des utilisateurs car le service a déjà corrigé la plate-forme. Cependant, pour les utilisateurs exécutant des installations GitLab, en particulier la version 16.0.0, la société les a exhortés à mettre à jour leurs appareils avec la version corrigée au plus tôt.
Outre le correctif, aucune solution de contournement n’existe pour atténuer la faille, si ce n’est le fait qu’elle nécessite une structure particulière (une pièce jointe dans un projet public imbriqué dans cinq groupes) qui peut ne pas s’appliquer à tous les projets. De plus, la vulnérabilité n’affecte aucune version de GitLab CE/EE antérieure à la version 16.0.0.
Néanmoins, il est toujours essentiel que les utilisateurs mettent à jour leurs systèmes immédiatement pour rester à l’abri d’une exploitation potentielle.
Faites-nous part de vos réflexions dans les commentaires.
Poster un commentaire