Image: Mahadevu Udaya Bhaskar
GitLab a résolu une vulnérabilité de gravité critique qui pourrait permettre à des attaquants distants de prendre le contrôle de comptes d’utilisateurs à l’aide de mots de passe codés en dur.
Le bug (découvert en interne et suivi comme CVE-2022-1162) affecte à la fois GitLab Community Edition (CE) et Enterprise Edition (EE).
Cette faille résulte de mots de passe statiques définis accidentellement lors de l’enregistrement basé sur OmniAuth dans GitLab CE/EE.
« Un mot de passe codé en dur a été défini pour les comptes enregistrés à l’aide d’un fournisseur OmniAuth (par exemple OAuth, LDAP, SAML) dans les versions GitLab CE/EE 14.7 antérieures à 14.7.7, 14.8 antérieures à 14.8.5 et 14.9 antérieures à 14.9.2 permettant aux attaquants pour potentiellement prendre le contrôle de comptes », a expliqué l’équipe GitLab dans un avis de sécurité publié jeudi.
GitLab a exhorté les utilisateurs à mettre immédiatement à niveau toutes les installations de GitLab vers les dernières versions (14.9.2, 14.8.5 ou 14.7.7) pour bloquer les attaques potentielles.
« Nous recommandons fortement que toutes les installations exécutant une version affectée par les problèmes décrits ci-dessous soient mises à niveau vers la dernière version dès que possible », ont-ils déclaré. mentionné.
Réinitialisation des mots de passe pour certains utilisateurs de GitLab
GitLab a également ajouté qu’il réinitialisait les mots de passe d’un nombre limité d’utilisateurs de GitLab.com dans le cadre de l’effort d’atténuation CVE-2022-1162.
Il n’a également trouvé aucune preuve que des comptes aient été compromis par des attaquants utilisant cette faille de sécurité de mot de passe en dur.
« Nous avons exécuté une réinitialisation des mots de passe GitLab.com pour un ensemble sélectionné d’utilisateurs à partir de 15h38 UTC », a déclaré l’équipe GitLab.
« Notre enquête ne montre aucune indication que des utilisateurs ou des comptes ont été compromis, mais nous prenons des mesures de précaution pour la sécurité de nos utilisateurs. »
À l’heure actuelle, aucune activité malveillante ou compromis n’a été identifié sur https://t.co/C4mACZpLWf liés à la violation potentielle d’Okta. Nous continuons à surveiller et à enquêter, et recommandons vivement d’activer MFA. Vous pouvez voir notre réponse ici : https://t.co/nlO7QcGq34
— GitLab (@gitlab) 22 mars 2022
Plus de 100 000 organisations utilisent sa plate-forme DevOps, selon GitLab, et la société estime qu’elle compte plus de 30 millions d’utilisateurs enregistrés estimés dans 66 pays du monde.
Un porte-parole de GitLab n’était pas disponible pour commenter lorsqu’il a été contacté par EZpublish-france.fr plus tôt dans la journée.