Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service
- Injection de code indirecte à distance (XSS)
- Injection de requêtes illégitimes par rebond (CSRF)
Systèmes affectés
- GitLab CE et EE 13.3 versions antérieures à 13.3.9
- GitLab CE et EE 13.4 versions antérieures à 13.4.5
- GitLab CE et EE 13.5 versions antérieures à 13.5.2
Résumé
De multiples vulnérabilités ont été découvertes dans GitLab. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité GitLab du 02 novembre 2020 https://about.gitlab.com/releases/2020/11/02/security-release-gitlab-13-5-2-released/
- Référence CVE CVE-2020-13340 https://www.cve.org/CVERecord?id=CVE-2020-13340
- Référence CVE CVE-2020-13348 https://www.cve.org/CVERecord?id=CVE-2020-13348
- Référence CVE CVE-2020-13349 https://www.cve.org/CVERecord?id=CVE-2020-13349
- Référence CVE CVE-2020-13350 https://www.cve.org/CVERecord?id=CVE-2020-13350
- Référence CVE CVE-2020-13352 https://www.cve.org/CVERecord?id=CVE-2020-13352
- Référence CVE CVE-2020-13353 https://www.cve.org/CVERecord?id=CVE-2020-13353
- Référence CVE CVE-2020-13354 https://www.cve.org/CVERecord?id=CVE-2020-13354
- Référence CVE CVE-2020-13355 https://www.cve.org/CVERecord?id=CVE-2020-13355
- Référence CVE CVE-2020-13356 https://www.cve.org/CVERecord?id=CVE-2020-13356
- Référence CVE CVE-2020-13358 https://www.cve.org/CVERecord?id=CVE-2020-13358
- Référence CVE CVE-2020-13359 https://www.cve.org/CVERecord?id=CVE-2020-13359
- Référence CVE CVE-2020-26405 https://www.cve.org/CVERecord?id=CVE-2020-26405
