Un site officiel de la Principauté de Monaco

Découvrir l'AMSN

Présentation

Organisation

Rapports d'activité

Stratégie nationale

Contact

Recrutements

S'informer sur la réglementation

Services de Confiance

Opérateur d'Importance Vitale (OIV)

Matériels et Logiciels soumis à autorisation

Sécurité Nationale

Données de santé

Services de Confiance

Schéma de confiance

Liste de confiance

Prestataires de service de confiance

Produits et services qualifiés

Services qualifiés

Produits qualifiés, certifiés

AVIS CERTFR - 2022 - AVI - 693

AVIS CERT

CERT-FR

Publié le 29 juillet 2022 à 16h12

Objet : Multiples vulnérabilités dans GitLab

Référence : CERTFR-2022-AVI-693

Risque(s)

- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)

Systèmes affectés

- GitLab Community Edition (CE) et Enterprise Edition (EE) versions 15.2.x antérieures à 15.2.1
- GitLab Community Edition (CE) et Enterprise Edition (EE) versions 15.1.x antérieures à 15.1.4
- GitLab Community Edition (CE) et Enterprise Edition (EE) versions antérieures à 15.0.5

Résumé

De multiples vulnérabilités ont été découvertes dans GitLab. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité GitLab du 28 juillet 2022

https://about.gitlab.com/releases/2022/07/28/security-release-gitlab-15-2-1-released/

- Référence CVE CVE-2022-2512

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2512

- Référence CVE CVE-2022-2498

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2498

- Référence CVE CVE-2022-2326

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2326

- Référence CVE CVE-2022-2417

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2417

- Référence CVE CVE-2022-2501

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2501

- Référence CVE CVE-2022-2497

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2497

- Référence CVE CVE-2022-2531

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2531

- Référence CVE CVE-2022-2539

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2539

- Référence CVE CVE-2022-2456

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2456

- Référence CVE CVE-2022-2500

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2500

- Référence CVE CVE-2022-2303

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2303

- Référence CVE CVE-2022-2095

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2095

- Référence CVE CVE-2022-2499

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2499

- Référence CVE CVE-2022-2307

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2307

- Référence CVE CVE-2022-2459

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2459

- Référence CVE CVE-2022-2534

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2534

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-693/