Vulnérabilité critique affectant la sécurité des mots de passe sur GitLab

Origine: bjCSIRT

Numéro: 2022/ALERTE/020

Date de l’alerte: 03/05/2022

APERÇU :

La vulnérabilité libellée CVE-2022-1162 est une faille sur la sécurité des comptes de GitLab Community Edition/Enterprise Edition qui permettrait à un attaquant de s’authentifier et de prendre le contrôle des comptes affectés.

DESCRIPTION :

La principale source de cette vulnérabilité se trouve dans le processus d’enregistrement du compte à l’aide d’un fournisseur OmniAuth (par exemple, OAuth, LDAP, SAML) où un mot de passe codé en dur est défini avec un modèle prévisible, ce qui permet à un attaquant de forcer le mot de passe d’un utilisateur enregistré et ainsi prendre possession de son compte. L’exploitation permettra donc à un attaquant de s’authentifier en tant qu’un utilisateur et effectuer toutes les actions réservées à ce compte.

La vulnérabilité est classée critique et le score de sévérité CVSSv3 de la vulnérabilité s’élève à 9.8.

IMPACT :

  • Compromission de comptes utilisateurs.

SYSTEMES AFFECTÉS :

Gitlab Community Edition / Enterprise Edition :

  • Versions inférieures à 14.7.7
  • Versions inférieures à 14.8.5
  • Versions inférieures à 14.9.2

MESURES À PRENDRE :

Il est fortement recommandé aux utilisateurs d’effectuer des mises à jour vers les versions récentes :

  • Gitlab Community Edition / Enterprise Edition 7.7
  • Gitlab Community Edition / Enterprise Edition 8.5
  • Gitlab Community Edition / Enterprise Edition 9.2

Il est également recommandé d’identifier et de réinitialiser les mots de passe des utilisateurs affectés.

REFERENCES :

  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1162
  • https://securityonline.info/cve-2022-1162-gitlab-vulnerability/
Partagez sur vos réseaux.