GitLab a corrigé neuf vulnérabilités dans ses nouvelles mises à jour de sécurité.
GitLab a publié deux mises à jour de sécurité pour les éditions Community (CE) et Enterprise (EE). Ces mises à jour ont résolu neuf vulnérabilités. Deux d’entre elles étaient des erreurs critiques dans la bibliothèque ruby-saml utilisée pour l’authentification unique SAML. SAML est une norme ouverte utilisée pour partager les informations d’authentification entre différentes parties.
Vulnérabilités critiques dans l’authentification SAML
En raison des erreurs dans la bibliothèque ruby-saml, un attaquant peut se faire passer pour un autre utilisateur au sein d’un environnement fournisseur d’identité (IdP) SAML. Cela entraîne un accès non autorisé et de potentielles fuites de données.
Github souligne que leur plateforme n’est pas affectée, car elle n’utilise plus ruby-saml depuis 2014. La vulnérabilité était cependant présente dans d’autres logiciels tels que GitLab. Entre-temps, ces vulnérabilités ont été résolues dans GitLab CE/EE version 17.7.7, 17.8.5, 17.9.2, la version web et GitLab Dedicated. Les utilisateurs disposant de leurs propres installations doivent effectuer la mise à jour manuellement.
“Nous recommandons vivement de mettre à niveau toutes les installations affectées par les problèmes décrits ci-dessous vers la dernière version dès que possible”, souligne GitLab dans un blog.
lire aussi