S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 12 janvier 2024
N° CERTFR-2024-ALE-002
Affaire suivie par: CERT-FR
le 12 janvier 2024

Bulletin d'alerte du CERT-FR

Objet: [MàJ] Multiples Vulnérabilités dans GitLab

Gestion du document

Référence CERTFR-2024-ALE-002
Titre [MàJ] Multiples Vulnérabilités dans GitLab
Date de la première version 12 janvier 2024
Date de la dernière version 22 février 2024
Source(s) Bulletin de sécurité GitLab du 11 janvier 2024
Bulletin de sécurité GitLab du 25 janvier 2024
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

  • Exécution de code arbitraire à distance
  • Contournement de la politique de sécurité

Systèmes affectés

[Mise à jour du 29 janvier 2024]

Les versions des systèmes affectés ont été mises à jour à la suite du nouveau bulletin de sécurité du 25 janvier 2024. Les versions 16.5.6, 16.6.4 et 16.7.2 initialement recommandées ne doivent plus être utilisées.

  • Gitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.1.x antérieures à 16.1.6
  • Gitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.2.x antérieures à 16.2.9
  • Gitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.3.x antérieures à 16.3.7
  • Gitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.4.x antérieures à 16.4.5
  • Gitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.5.x antérieures à 16.5.8
  • Gitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.6.x antérieures à 16.6.6
  • Gitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.7.x antérieures à 16.7.4
  • Gitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.8.x antérieures à 16.8.1

Résumé

[Mise à jour du 29 janvier 2024]

Le 25 janvier 2024, l'éditeur a publié un avis de sécurité concernant plusieurs vulnérabilités affectant GitLab CE et EE.

La vulnérabilité CVE-2024-0402 est considérée critique avec un score CVSSv3 de 9,9. Elle permet à un attaquant authentifié d'écrire des fichiers à un emplacement arbitraire.

[Publication initiale]

Le 11 janvier 2024, l'éditeur a publié un avis de sécurité concernant plusieurs vulnérabilités affectant GitLab CE et EE.

La plus critique est la vulnérabilité CVE-2023-7028. Elle permet à un attaquant non authentifié d'envoyer un courriel de réinitialisation de mot de passe de n'importe quel utilisateur à une adresse arbitraire. L'attaquant peut ainsi, par le biais d'une simple requête HTTP POST, prendre le contrôle d'un compte dont il connaitrait le courriel.

Le score CVSSv3 de la vulnérabilité CVE-2023-7028 est de 10 (sur 10). Son exploitation est triviale et le CERT-FR anticipe la publication de codes d'exploitations publics dans les heures à venir.

L'éditeur recommande de vérifier:

  • dans le journal d'activité "gitlab-rails/production_json.log", la présence de requêtes HTTP, sur le chemin "/users/password", contenant plusieurs adresses courriel;
  • dans le journal d'activité "gitlab-rails/audit_json.log", la présence d'identifiants correspondant à "PasswordsController#create" avec des "target_details" composé d'un tableau comprenant plusieurs adresses courriel.

Le CERT-FR recommande donc d'appliquer les correctifs dans les plus brefs délais et d'activer l'authentification à multiples facteurs, notamment sur les comptes à hauts privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 12 janvier 2024
    Version initiale
    le 29 janvier 2024
    Ajout de la vulnérabilité CVE-2024-0402
    le 22 février 2024
    Clôture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise à jour permet de vous prémunir contre l'exploitation de la vulnérabilité correspondante.