Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire
Systèmes affectés
- GitLab Community Edition et Entreprise Edition versions 13.5.x antérieures à 13.5.6
- GitLab Community Edition et Entreprise Edition versions 13.6.x antérieures à 13.6.4
- GitLab Community Edition et Entreprise Edition versions 13.7.x antérieures à 13.7.2
Résumé
De multiples vulnérabilités ont été découvertes dans GitLab. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, un déni de service à distance et un contournement de la politique de sécurité.
Certaines vulnérabilités n'ont pas encore d'identifiant CVE.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité GitLab du 07 janvier 2021 https://about.gitlab.com/releases/2021/01/07/security-release-gitlab-13-7-2-released/
- Référence CVE CVE-2019-3881 https://www.cve.org/CVERecord?id=CVE-2019-3881
- Référence CVE CVE-2020-26414 https://www.cve.org/CVERecord?id=CVE-2020-26414
- Référence CVE CVE-2021-22166 https://www.cve.org/CVERecord?id=CVE-2021-22166