Une faille critique dans GitLab à cause d’un mot de passe codé en dur !

GitLab a corrigé une faille de sécurité critique qui permet à un attaquant de prendre le contrôle de comptes utilisateurs à cause d'un mot de passe codé en dur.

Découverte en interne par les équipes de GitLab, la vulnérabilité CVE-2022-1162 touche aussi bien l'édition Community que l'édition Enterprise de GitLab. Ce qui est surprenant, c'est l'origine de cette faille : l'utilisation de mots de passe statiques (c'est-à-dire codé en dur !) lors de l'enregistrement basé sur OmniAuth dans GitLab Community Edition et Enterprise Edition.

Au sein du bulletin de sécurité officiel, GitLab précise : "Un mot de passe codé en dur était défini pour les comptes enregistrés à l'aide d'un fournisseur OmniAuth (par exemple, OAuth, LDAP, SAML) dans GitLab CE/EE, pour les versions 14.7 antérieures à 14.7.7, 14.8 antérieures à 14.8.5 et 14.9 antérieures à 14.9.2, ce qui peut permettre aux attaquants de prendre le contrôle des comptes."

Pour vous protéger et bloquer les éventuelles attaques, GitLab recommande de passer par la case mise à jour pour installer une version patchée : 14.7.7, 14.8.5 ou 14.9.2.

Deux jours avant la mise en ligne de ces nouvelles versions, les développeurs de GitLab ont apporté une modification au code source et ils ont supprimé un fichier nommé "lib/gitlab/password.rb". Ce fichier semble lié à la faille de sécurité évoquée dans cet article, car il permettait d'assigner un mot de passe faible et codé en dur à la constante "TEST_DEFAULT".

Source : Bleeping Computer

Par mesure de précaution, GitLab a pris la décision de forcer la réinitialisation du mot de passe de certains utilisateurs afin de les protéger contre une potentielle attaque.

Pour le moment, et toujours d'après l'éditeur, il n'y aurait pas eu de compromission de comptes, et les équipes de sécurité surveillent de près l'évolution de la situation afin d'identifier les comptes vulnérables à la faille CVE-2022-1162.

GitLab est une solution très populaire auprès des entreprises et des développeurs, avec plus de 30 millions de comptes utilisateurs présents dans le monde entier.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3767 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.