Vulnérabilité critique affectant la sécurité des mots de passe sur GitLab

Une vulnérabilité libellée CVE-2022-1162 a été découverte. Il s'agit d'une faille sur la sécurité des comptes de GitLab Community Edition/Enterprise Edition qui permettrait à un attaquant de s’authentifier et de prendre le contrôle des comptes affectés.

La principale source de cette vulnérabilité se trouve dans le processus d’enregistrement du compte à l’aide d’un fournisseur OmniAuth (par exemple, OAuth, LDAP, SAML) où un mot de passe codé en dur est défini avec un modèle prévisible, ce qui permet à un attaquant de forcer le mot de passe d’un utilisateur enregistré et ainsi prendre possession de son compte. L’exploitation permettra donc à un attaquant de s’authentifier en tant qu’un utilisateur et effectuer toutes les actions réservées à ce compte.

La vulnérabilité est classée critique et le score de sévérité CVSSv3 de la vulnérabilité s’élève à 9.8.

RISQUE

  • Compromission de comptes utilisateurs.

SYSTEMES AFFECTÉS

  • Gitlab Community Edition/Enterprise Edition : Versions inférieures à 14.7.7, 14.8.5 et à 14.9.2

MESURES À PRENDRE 

Il est fortement recommandé aux utilisateurs d’effectuer des mises à jour vers les versions récentes :

  • Gitlab Community Edition / Enterprise Edition 7.7
  • Gitlab Community Edition / Enterprise Edition 8.5
  • Gitlab Community Edition / Enterprise Edition 9.2

Il est également recommandé d’identifier et de réinitialiser les mots de passe des utilisateurs affectés.


Source : securityonline.info