Si t’es dans le monde de la tech ou que tu bidouilles en dev, le nom de GitLab te dit forcément quelque chose. C’est un poids lourd du devops et de l’open source. Et figure-toi, ils ont eu du pain sur la planche avec deux énormes failles de sécurité.
La plus balèze, elle caracolait à 10/10 sur l’échelle CVSS. Autant te dire qu’un petit malin aurait pu te jouer un mauvais tour et prendre les commandes de ton compte sans demander ton avis.
Table des Matières
ToggleLa faille CVE-2023-2825 en détail
Ces failles, c’était pas le genre de pépin qu’on croise à chaque coin de web. La plus corsée, la CVE-2023-2825, se planquait dans le code depuis la version 16.1.0, lancée le 1er mai.
Cette faille CVE-2023-2825, offrait la possibilité à un intrus de réinitialiser ton mot de passe juste en envoyant un mail à une adresse pas certifiée.
Les versions patchées par GitLab
Les gars de chez GitLab ont pas chômé pour rectifier le tir. Ils ont sorti des updates pour les versions Community et Enterprise : 16.5.6, 16.6.4, 16.7.2, et aussi les 16.1.6, 16.2.9, 16.3.7, 16.4.5. Si t’utilises GitLab, fonce vérifier ta version et fais la mise à jour si nécessaire.
La sécu boostée pour les utilisateurs
Si t’es du genre prévoyant et que t’utilises l’authentification à deux facteurs, t’as un peu moins de soucis à te faire. Cette faille permettait de changer le mot de passe, mais pas de prendre le contrôle total de ton compte. Un petit soulagement, mais ça n’enlève rien à la nécessité de rester sur ses gardes.
Les autres vulnérabilités corrigées
Et c’est pas fini. GitLab a aussi réparé une autre faille sérieuse (CVE-2023-5356, note CVSS : 9.6). Celle-ci permettait à un utilisateur de trifouiller les intégrations Slack/Mattermost pour exécuter des commandes slash sous l’identité de quelqu’un d’autre. Pas sympa du tout, mais ça, c’est réglé maintenant.