Risque(s)
- Déni de service
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)
- Injection de requêtes illégitimes par rebond (CSRF)
Systèmes affectés
- GitLab CE et EE 13.5 versions antérieures à 13.5.2
- GitLab CE et EE 13.4 versions antérieures à 13.4.5
- GitLab CE et EE 13.3 versions antérieures à 13.3.9
Résumé
De multiples vulnérabilités ont été découvertes dans GitLab. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité GitLab du 02 novembre 2020
https://about.gitlab.com/releases/2020/11/02/security-release-gitlab-13-5-2-released/ - Référence CVE CVE-2020-13340
https://www.cve.org/CVERecord?id=CVE-2020-13340 - Référence CVE CVE-2020-13348
https://www.cve.org/CVERecord?id=CVE-2020-13348 - Référence CVE CVE-2020-13349
https://www.cve.org/CVERecord?id=CVE-2020-13349 - Référence CVE CVE-2020-13350
https://www.cve.org/CVERecord?id=CVE-2020-13350 - Référence CVE CVE-2020-13352
https://www.cve.org/CVERecord?id=CVE-2020-13352 - Référence CVE CVE-2020-13353
https://www.cve.org/CVERecord?id=CVE-2020-13353 - Référence CVE CVE-2020-13354
https://www.cve.org/CVERecord?id=CVE-2020-13354 - Référence CVE CVE-2020-13355
https://www.cve.org/CVERecord?id=CVE-2020-13355 - Référence CVE CVE-2020-13356
https://www.cve.org/CVERecord?id=CVE-2020-13356 - Référence CVE CVE-2020-13358
https://www.cve.org/CVERecord?id=CVE-2020-13358 - Référence CVE CVE-2020-13359
https://www.cve.org/CVERecord?id=CVE-2020-13359 - Référence CVE CVE-2020-26405
https://www.cve.org/CVERecord?id=CVE-2020-26405