Un site officiel de la Principauté de Monaco

Découvrir l'AMSN

Présentation

Organisation

Rapports d'activité

Stratégie nationale

Contact

Recrutements

S'informer sur la réglementation

Services de Confiance

Opérateur d'Importance Vitale (OIV)

Matériels et Logiciels soumis à autorisation

Sécurité Nationale

Données de santé

Services de Confiance

Schéma de confiance

Liste de confiance

Prestataires de service de confiance

Produits et services qualifiés

Services qualifiés

Produits qualifiés, certifiés

AVIS CERTFR - 2022 - AVI - 304

AVIS CERT

CERT-FR

Publié le 1 avril 2022 à 18h07

Objet : Vulnérabilité dans les produits GitLab

Référence : CERTFR-2022-AVI-304

Risque(s)

- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Élévation de privilèges

Systèmes affectés

- GitLab CE/EE versions 14.9.x antérieures à 14.9.2
- GitLab CE/EE versions 14.8.x antérieures à 14.8.5
- GitLab CE/EE versions 14.7.x antérieures à 14.7.7

Résumé

Une vulnérabilité a été découverte dans les produits GitLab. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité, une atteinte à la confidentialité des données et une élévation de privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité GitLab du 31 mars 2022

https://about.gitlab.com/releases/2022/03/31/critical-security-release-gitlab-14-9-2-released/

- Référence CVE CVE-2022-1162

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1162

- Référence CVE CVE-2022-1175

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1175

- Référence CVE CVE-2022-1190

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1190

- Référence CVE CVE-2022-1185

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1185

- Référence CVE CVE-2022-1148

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1148

- Référence CVE CVE-2022-1121

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1121

- Référence CVE CVE-2022-1120

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1120

- Référence CVE CVE-2022-1100

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1100

- Référence CVE CVE-2022-1193

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1193

- Référence CVE CVE-2022-1105

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1105

- Référence CVE CVE-2022-1099

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1099

- Référence CVE CVE-2022-1174

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1174

- Référence CVE CVE-2022-1188

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1188

- Référence CVE CVE-2022-0740

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0740

- Référence CVE CVE-2022-1189

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1189

- Référence CVE CVE-2022-1157

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1157

- Référence CVE CVE-2022-1111

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1111

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-304/