Informations de sécurité / 2018 / Informations sur la sécurité -- DSA-4145-1 gitlab

Bulletin d'alerte Debian

DSA-4145-1 gitlab -- Mise à jour de sécurité

Date du rapport :

18 mars 2018

Paquets concernés :

gitlab

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2017-0915, CVE-2017-0916, CVE-2017-0917, CVE-2017-0918, CVE-2017-0925, CVE-2017-0926, CVE-2018-3710.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Gitlab, une plateforme logicielle pour collaborer sur le code :

• CVE-2017-0915 / CVE-2018-3710

  Exécution de code arbitraire dans l'importation de projet.

• CVE-2017-0916

  Injection de commande grâce aux « Webhooks ».

• CVE-2017-0917

  Script intersite dans la sortie de la tâche CI.

• CVE-2017-0918

  Restriction insuffisante de l'exécuteur CI pour l'accès au cache du projet.

• CVE-2017-0925

  Divulgation d'informations dans l'API Services.

• CVE-2017-0926

  Contournement possible des restrictions pour les fournisseurs de OAuth désactivés.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 8.13.11+dfsg1-8+deb9u1.

Nous vous recommandons de mettre à jour vos paquets gitlab.

Pour disposer d'un état détaillé sur la sécurité de gitlab, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/gitlab