J'ai besoin d'intimité. Non pas parce que mes actions sont douteuses, mais parce que votre jugement et vos intentions le sont.
Le score CVSSv3 de la vulnérabilité CVE-2023-7028 est de 10 (sur 10). Son exploitation est triviale et le CERT-FR anticipe la publication de codes d'exploitations publics dans les heures à venir.
L'éditeur recommande de vérifier:
- dans le journal d'activité "gitlab-rails/production_json.log", la présence de requêtes HTTP, sur le chemin "/users/password", contenant plusieurs adresses courriel;
- dans le journal d'activité "gitlab-rails/audit_json.log", la présence d'identifiants correspondant à "PasswordsController#create" avec des "target_details" composé d'un tableau comprenant plusieurs adresses courriel.
Le CERT-FR recommande donc d'appliquer les correctifs dans les plus brefs délais et d'activer l'authentification à multiples facteurs, notamment sur les comptes à hauts privilèges.
Pour info : mettez à jour vos instances GitLab.
Voir également https://github.com/atoum/atoum pour les tests