Bulletin d'alerte Debian

DSA-4145-1 gitlab -- Mise à jour de sécurité

Date du rapport :
18 mars 2018
Paquets concernés :
gitlab
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-0915, CVE-2017-0916, CVE-2017-0917, CVE-2017-0918, CVE-2017-0925, CVE-2017-0926, CVE-2018-3710.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Gitlab, une plateforme logicielle pour collaborer sur le code :

  • CVE-2017-0915 / CVE-2018-3710

    Exécution de code arbitraire dans l'importation de projet.

  • CVE-2017-0916

    Injection de commande grâce aux « Webhooks ».

  • CVE-2017-0917

    Script intersite dans la sortie de la tâche CI.

  • CVE-2017-0918

    Restriction insuffisante de l'exécuteur CI pour l'accès au cache du projet.

  • CVE-2017-0925

    Divulgation d'informations dans l'API Services.

  • CVE-2017-0926

    Contournement possible des restrictions pour les fournisseurs de OAuth désactivés.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 8.13.11+dfsg1-8+deb9u1.

Nous vous recommandons de mettre à jour vos paquets gitlab.

Pour disposer d'un état détaillé sur la sécurité de gitlab, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/gitlab