Bulletin d'alerte Debian

DSA-4206-1 gitlab -- Mise à jour de sécurité

Date du rapport :
21 mai 2018
Paquets concernés :
gitlab
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-0920, CVE-2018-8971.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Gitlab, une plateforme logicielle de collaboration sur le code :

  • CVE-2017-0920

    L'absence de validation des requêtes « merge » permettait aux utilisateurs de voir des noms de projets privés, avec pour conséquence la divulgation d'informations.

  • CVE-2018-8971

    L'intégration d'Auth0 était incorrectement implémentée.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 8.13.11+dfsg1-8+deb9u2. Le correctif pour CVE-2018-8971 réclame aussi la mise à niveau de ruby-omniauth-auth0 vers la version 2.0.0-0+deb9u1.

Nous vous recommandons de mettre à jour vos paquets gitlab.

Pour disposer d'un état détaillé sur la sécurité de gitlab, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/gitlab