CERTFR-2024-ALE-002
Vulnerability from certfr_alerte

[Mise à jour du 29 janvier 2024]

Le 25 janvier 2024, l'éditeur a publié un avis de sécurité concernant plusieurs vulnérabilités affectant GitLab CE et EE.

La vulnérabilité CVE-2024-0402 est considérée critique avec un score CVSSv3 de 9,9. Elle permet à un attaquant authentifié d'écrire des fichiers à un emplacement arbitraire.

[Publication initiale]

Le 11 janvier 2024, l'éditeur a publié un avis de sécurité concernant plusieurs vulnérabilités affectant GitLab CE et EE.

La plus critique est la vulnérabilité CVE-2023-7028. Elle permet à un attaquant non authentifié d'envoyer un courriel de réinitialisation de mot de passe de n'importe quel utilisateur à une adresse arbitraire. L'attaquant peut ainsi, par le biais d'une simple requête HTTP POST, prendre le contrôle d'un compte dont il connaitrait le courriel.

Le score CVSSv3 de la vulnérabilité CVE-2023-7028 est de 10 (sur 10). Son exploitation est triviale et le CERT-FR anticipe la publication de codes d'exploitations publics dans les heures à venir.

L'éditeur recommande de vérifier:

  • dans le journal d'activité "gitlab-rails/production_json.log", la présence de requêtes HTTP, sur le chemin "/users/password", contenant plusieurs adresses courriel;
  • dans le journal d'activité "gitlab-rails/audit_json.log", la présence d'identifiants correspondant à "PasswordsController#create" avec des "target_details" composé d'un tableau comprenant plusieurs adresses courriel.

Le CERT-FR recommande donc d'appliquer les correctifs dans les plus brefs délais et d'activer l'authentification à multiples facteurs, notamment sur les comptes à hauts privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

[Mise à jour du 29 janvier 2024]

Les versions des systèmes affectés ont été mises à jour à la suite du nouveau bulletin de sécurité du 25 janvier 2024. Les versions 16.5.6, 16.6.4 et 16.7.2 initialement recommandées ne doivent plus être utilisées.

  • Gitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.1.x antérieures à 16.1.6
  • Gitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.2.x antérieures à 16.2.9
  • Gitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.3.x antérieures à 16.3.7
  • Gitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.4.x antérieures à 16.4.5
  • Gitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.5.x antérieures à 16.5.8
  • Gitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.6.x antérieures à 16.6.6
  • Gitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.7.x antérieures à 16.7.4
  • Gitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.8.x antérieures à 16.8.1
Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003e\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e[Mise \u00e0 jour du 29 janvier 2024] \u003c/strong\u003e\u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003eLes versions des syst\u00e8mes affect\u00e9s ont \u00e9t\u00e9 mises \u00e0 jour \u00e0 la suite du nouveau bulletin de s\u00e9curit\u00e9 du 25 janvier 2024. Les versions 16.5.6, 16.6.4 et 16.7.2 initialement recommand\u00e9es ne doivent plus \u00eatre utilis\u00e9es.\u003cbr /\u003e \u003c/strong\u003e\u003c/span\u003e\u003c/p\u003e \u003cul\u003e \u003cli\u003eGitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.1.x ant\u00e9rieures \u00e0 16.1.6\u003c/li\u003e \u003cli\u003eGitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.2.x ant\u00e9rieures \u00e0 16.2.9\u003c/li\u003e \u003cli\u003eGitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.3.x ant\u00e9rieures \u00e0 16.3.7\u003c/li\u003e \u003cli\u003eGitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.4.x ant\u00e9rieures \u00e0 16.4.5\u003c/li\u003e \u003cli\u003eGitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.5.x ant\u00e9rieures \u00e0 16.5.8\u003c/li\u003e \u003cli\u003eGitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.6.x ant\u00e9rieures \u00e0 16.6.6\u003c/li\u003e \u003cli\u003eGitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.7.x ant\u00e9rieures \u00e0 16.7.4\u003c/li\u003e \u003cli\u003eGitlab Community Edition (CE) et Enterprise Edition (EE) versions 16.8.x ant\u00e9rieures \u00e0 16.8.1\u003c/li\u003e \u003c/ul\u003e ",
  "closed_at": "2024-02-22",
  "content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2024-0402",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-0402"
    },
    {
      "name": "CVE-2023-7028",
      "url": "https://www.cve.org/CVERecord?id=CVE-2023-7028"
    }
  ],
  "initial_release_date": "2024-01-12T00:00:00",
  "last_revision_date": "2024-02-22T00:00:00",
  "links": [
    {
      "title": "Avis CERT-FR CERTFR-2024-AVI-0030 du 12 janvier 2024",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0030/"
    },
    {
      "title": "Avis CERT-FR CERTFR-2024-AVI-0069 du 26 janvier 2024",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0069/"
    }
  ],
  "reference": "CERTFR-2024-ALE-002",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2024-01-12T00:00:00.000000"
    },
    {
      "description": "Ajout de la vuln\u00e9rabilit\u00e9 CVE-2024-0402",
      "revision_date": "2024-01-29T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2024-02-22T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    },
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e\\[Mise \u00e0 jour du 29 janvier 2024\\]\u003c/strong\u003e\n\u003c/span\u003e\n\nLe 25 janvier 2024, l\u0027\u00e9diteur a publi\u00e9 un avis de s\u00e9curit\u00e9 concernant\nplusieurs vuln\u00e9rabilit\u00e9s affectant GitLab CE et EE.\n\nLa vuln\u00e9rabilit\u00e9 CVE-2024-0402 est consid\u00e9r\u00e9e critique avec un score\nCVSSv3 de 9,9. Elle permet \u00e0 un attaquant authentifi\u00e9 d\u0027\u00e9crire des\nfichiers \u00e0 un emplacement arbitraire.\n\n\u003cstrong\u003e\\[Publication initiale\\]\u003c/strong\u003e\n\nLe 11 janvier 2024, l\u0027\u00e9diteur a publi\u00e9 un avis de s\u00e9curit\u00e9 concernant\nplusieurs vuln\u00e9rabilit\u00e9s affectant GitLab CE et EE.\n\nLa plus critique est la vuln\u00e9rabilit\u00e9 CVE-2023-7028. Elle permet \u00e0 un\nattaquant non authentifi\u00e9 d\u0027envoyer un courriel de r\u00e9initialisation de\nmot de passe de n\u0027importe quel utilisateur \u00e0 une adresse arbitraire.\nL\u0027attaquant peut ainsi, par le biais d\u0027une simple requ\u00eate HTTP POST,\nprendre le contr\u00f4le d\u0027un compte dont il connaitrait le courriel.\n\nLe score CVSSv3 de la vuln\u00e9rabilit\u00e9 CVE-2023-7028 est de 10 (sur 10).\nSon exploitation est triviale et le CERT-FR anticipe la publication de\ncodes d\u0027exploitations publics dans les heures \u00e0 venir.\n\nL\u0027\u00e9diteur recommande de v\u00e9rifier:\n\n-   dans le journal d\u0027activit\u00e9 \"gitlab-rails/production_json.log\", la\n    pr\u00e9sence de requ\u00eates HTTP, sur le chemin \"/users/password\",\n    contenant plusieurs adresses courriel;\n-   dans le journal d\u0027activit\u00e9 \"gitlab-rails/audit_json.log\", la\n    pr\u00e9sence d\u0027identifiants correspondant \u00e0 \"PasswordsController#create\"\n    avec des \"target_details\" compos\u00e9 d\u0027un tableau comprenant plusieurs\n    adresses courriel.\n\nLe CERT-FR recommande donc d\u0027appliquer les correctifs dans les plus\nbrefs d\u00e9lais et d\u0027activer l\u0027authentification \u00e0 multiples facteurs,\nnotamment sur les comptes \u00e0 hauts privil\u00e8ges.\n",
  "title": "[M\u00e0J] Multiples Vuln\u00e9rabilit\u00e9s dans GitLab",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 GitLab du 11 janvier 2024",
      "url": "https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/"
    },
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 GitLab du 25 janvier 2024",
      "url": "https://about.gitlab.com/releases/2024/01/25/critical-security-release-gitlab-16-8-1-released/"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.