Multiples vulnérabilités dans GitLab

Gestion du document

Référence	CERTFR-2024-AVI-0102
Titre	Multiples vulnérabilités dans GitLab
Date de la première version	08 février 2024
Date de la dernière version	08 février 2024
Source(s)	Bulletin de sécurité GitLab du 07 février 2024
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque(s)

Contournement de la politique de sécurité
Déni de service à distance
Élévation de privilèges

Systèmes affectés

GitLab Community Edition (CE) et Gitlab Enterprise Edition (EE) versions antérieures à 16.6.7
GitLab Community Edition (CE) et Gitlab Enterprise Edition (EE) versions 16.7.x antérieures à 16.7.5
GitLab Community Edition (CE) et Gitlab Enterprise Edition (EE) versions 16.8.x antérieures à 16.8.2

Résumé

De multiples vulnérabilités ont été découvertes dans GitLab. Elles permettent à un attaquant de provoquer un déni de service à distance, un contournement de la politique de sécurité et une élévation de privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité GitLab du 07 février 2024
https://about.gitlab.com/releases/2024/02/07/security-release-gitlab-16-8-2-released/
Référence CVE CVE-2023-6386
https://www.cve.org/CVERecord?id=CVE-2023-6386
Référence CVE CVE-2023-6840
https://www.cve.org/CVERecord?id=CVE-2023-6840
Référence CVE CVE-2024-1066
https://www.cve.org/CVERecord?id=CVE-2024-1066
Référence CVE CVE-2024-1250
https://www.cve.org/CVERecord?id=CVE-2024-1250

Avis du CERT-FR

Objet: Multiples vulnérabilités dans GitLab