Un site officiel de la Principauté de Monaco

Découvrir l'AMSN

Présentation

Organisation

Rapports d'activité

Stratégie nationale

Contact

Recrutements

S'informer sur la réglementation

Services de Confiance

Opérateur d'Importance Vitale (OIV)

Matériels et Logiciels soumis à autorisation

Sécurité Nationale

Données de santé

Services de Confiance

Schéma de confiance

Liste de confiance

Prestataires de service de confiance

Produits et services qualifiés

Services qualifiés

Produits qualifiés, certifiés

AVIS CERTFR - 2023 - AVI - 0991

AVIS CERT

CERT-FR

Publié le 1 décembre 2023 à 16h31

Objet : Multiples vulnérabilités dans GitLab

Référence : CERTFR-2023-AVI-0991

Risque(s)

- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Injection de code indirecte à distance (XSS)
- Élévation de privilèges

Systèmes affectés

- GitLab Community Edition (CE) et Enterprise Edition (EE) versions 16.6.x antérieures à 16.6.1
- GitLab CE et EE versions 16.5.x antérieures à 16.5.3
- GitLab CE et EE versions 16.4.x antérieures à 16.4.3

Résumé

De multiples vulnérabilités ont été découvertes dans GitLab. Certaines d'entre elles permettent à un attaquant de provoquer une élévation de privilèges, une atteinte à l'intégrité des données et une atteinte à la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité GitLab du 30 novembre 2023

https://about.gitlab.com/releases/2023/11/30/security-release-gitlab-16-6-1-released/

- Référence CVE CVE-2022-41409

https://www.cve.org/CVERecord?id=CVE-2022-41409

- Référence CVE CVE-2023-3401

https://www.cve.org/CVERecord?id=CVE-2023-3401

- Référence CVE CVE-2023-3443

https://www.cve.org/CVERecord?id=CVE-2023-3443

- Référence CVE CVE-2023-39417

https://www.cve.org/CVERecord?id=CVE-2023-39417

- Référence CVE CVE-2023-3949

https://www.cve.org/CVERecord?id=CVE-2023-3949

- Référence CVE CVE-2023-3964

https://www.cve.org/CVERecord?id=CVE-2023-3964

- Référence CVE CVE-2023-4317

https://www.cve.org/CVERecord?id=CVE-2023-4317

- Référence CVE CVE-2023-4658

https://www.cve.org/CVERecord?id=CVE-2023-4658

- Référence CVE CVE-2023-4912

https://www.cve.org/CVERecord?id=CVE-2023-4912

- Référence CVE CVE-2023-5226

https://www.cve.org/CVERecord?id=CVE-2023-5226

- Référence CVE CVE-2023-5995

https://www.cve.org/CVERecord?id=CVE-2023-5995

- Référence CVE CVE-2023-6033

https://www.cve.org/CVERecord?id=CVE-2023-6033

- Référence CVE CVE-2023-6396

https://www.cve.org/CVERecord?id=CVE-2023-6396

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0991/