GitLab a réparé une vulnérabilité cruciale (CVE-2023-5009) dans l’édition Enterprise (EE) et l’édition Neighbourhood (CE) de sa plateforme DevOps largement utilisée. La faille pourrait permettre à une étoile de danger d’abuser des politiques d’exécution d’analyse pour exécuter des pipelines en tant qu’autre utilisateur.
À propos de la vulnérabilité (CVE-2023-5009)
CVE-2023-5009– trouvé par le concepteur d’applications logicielles et chasseur de bogues Johan Carlsson (joaxcar) dans GitLab EE – affecte toutes les variantes commençant par 13.12 avant 16.2.7 et toutes les variantes commençant par 16.3 avant 16.3.4, SI les « transferts directs » et « sécurité » « Les fonctionnalités de politiques » sont autorisées exactement en même temps.
« La politique d’exécution d’analyse permet de configurer des scanners intégrés pour les projets GitLab, tels que l’analyse fixe et l’analyse des vulnérabilités. Ces scanners s’exécutent dans des pipelines dédiés avec un ensemble prédéfini de autorisations », a déclaré Alex Ilgayev, responsable de la recherche en sécurité chez Cycode à Aid Net Security.
La vulnérabilité est un contournement d’une autre vulnérabilité (CVE-2023-3932) signalée et réparée il y a un mois.
« Selon le système de suivi des problèmes et le code source de GitLab, tout utilisateur peut facilement utiliser cette vulnérabilité en modifiant l’auteur du fichier de stratégie à l’aide de la commande ‘git config’. L’analyse est effectuée via l’identité du dernier committer du fichier de stratégie, obtenant ainsi les autorisations d’utilisateurs approximatifs », a ajouté Ilgayev.
« Depuis, GitLab a mis à niveau le mécanisme pour exécuter ces analyses de sécurité en utilisant un robot dédié. utilisateur avec des autorisations limitées. Bien que GitLab n’ait pas publié de détails officiels concernant le contournement, en vérifiant le code source de GitLab, le contournement semble inclure la suppression de l’utilisateur du bot du groupe et l’autorisation à nouveau de l’exécution de la circulation de vulnérabilité précédente. «
Atténuation
GitLab a publié des variantes corrigées pour GitLab Community Edition (CE) et Business Edition (EE).
« Nous suggérons fortement que toutes les installations de GitLab soient immédiatement mises à jour vers l’une de ces versions. . GitLab.com exécute déjà la version corrigée », a déclaré Nick Malcolm, ingénieur principal en sécurité des applications chez GitLab.
Si une mise à niveau est difficile, Malcolm a encouragé la désactivation de la fonction « transferts directs » ou « politiques de sécurité » ( ou les deux).
Plus tôt cette année, GitLab a traité des problèmes de sécurité CVE-2022-41903 et CVE-2022-23521 dans Git qui ont eu un impact sur ses éditions Community et Business.
Toute l’actualité en temps réel, est sur L’Entrepreneur
