Multiples vulnérabilités dans GitLab

Gestion du document

Référence	CERTFR-2021-AVI-169
Titre	Multiples vulnérabilités dans GitLab
Date de la première version	05 mars 2021
Date de la dernière version	05 mars 2021
Source(s)	Bulletin de sécurité GitLab du 04 mars 2021
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risques

Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Injection de code indirecte à distance (XSS)
Non spécifié par l'éditeur

Systèmes affectés

GitLab Community Edition et Entreprise Edition versions 13.8.x antérieures à 13.8.5
GitLab Community Edition et Entreprise Edition versions 13.9.x antérieures à 13.9.2
GitLab Community Edition et Entreprise Edition versions 9.4 à 13.7.x antérieures à 13.7.8

Résumé

De multiples vulnérabilités ont été découvertes dans GitLab. Certaines d'entre elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité GitLab du 04 mars 2021

https://about.gitlab.com/releases/2021/03/04/security-release-gitlab-13-9-2-released/

Référence CVE CVE-2021-22185

https://www.cve.org/CVERecord?id=CVE-2021-22185

Référence CVE CVE-2021-22186

https://www.cve.org/CVERecord?id=CVE-2021-22186

Avis du CERT-FR