Multiples vulnérabilités dans GitLab

Risques

Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Déni de service à distance
Injection de code indirecte à distance (XSS)

Systèmes affectés

GitLab Community Edition (CE) et Enterprise Edition (EE) versions antérieures à 15.9.2, 15.8.4 et 15.7.8

Résumé

De multiples vulnérabilités ont été découvertes dans GitLab. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité GitLab du 02 mars 2023

https://about.gitlab.com/releases/2023/03/02/security-release-gitlab-15-9-2-released/

Référence CVE CVE-2022-3381

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3381

Référence CVE CVE-2022-3758

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3758

Référence CVE CVE-2022-4007

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-4007

Référence CVE CVE-2022-4289

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-4289

Référence CVE CVE-2022-4331

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-4331

Référence CVE CVE-2022-4462

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-4462

Référence CVE CVE-2023-0050

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0050

Référence CVE CVE-2023-0223

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0223

Référence CVE CVE-2023-0483

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0483

Référence CVE CVE-2023-1072

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1072

Référence CVE CVE-2023-1084

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1084

Référence CVE CVE-2022-3381

https://www.cve.org/CVERecord?id=CVE-2022-3381

Référence CVE CVE-2022-3758

https://www.cve.org/CVERecord?id=CVE-2022-3758

Référence CVE CVE-2022-4007

https://www.cve.org/CVERecord?id=CVE-2022-4007

Référence CVE CVE-2022-4289

https://www.cve.org/CVERecord?id=CVE-2022-4289

Référence CVE CVE-2022-4331

https://www.cve.org/CVERecord?id=CVE-2022-4331

Référence CVE CVE-2022-4462

https://www.cve.org/CVERecord?id=CVE-2022-4462

Référence CVE CVE-2023-0050

https://www.cve.org/CVERecord?id=CVE-2023-0050

Référence CVE CVE-2023-0223

https://www.cve.org/CVERecord?id=CVE-2023-0223

Référence CVE CVE-2023-0483

https://www.cve.org/CVERecord?id=CVE-2023-0483

Référence CVE CVE-2023-1072

https://www.cve.org/CVERecord?id=CVE-2023-1072

Référence CVE CVE-2023-1084

https://www.cve.org/CVERecord?id=CVE-2023-1084

Référence	CERTFR-2023-AVI-0187
Titre	Multiples vulnérabilités dans GitLab
Date de la première version	03 mars 2023
Date de la dernière version	03 mars 2023
Source(s)	Bulletin de sécurité GitLab du 02 mars 2023
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: Multiples vulnérabilités dans GitLab

Gestion du document

Risques

Systèmes affectés

Résumé

Solution

Documentation

Gestion détaillée du document