Une vulnérabilité détectée dans le logiciel GitLab très sévère a été détectée au début de l’année. Une faille qui expose et menace gravement la sécurité des comptes utilisateurs restant encore à ce jour exploitée.
Pas compris le rapport entre les IP et la faille. Le treemap aussi je ne sais pas ce qu il fait dans l article .
1 « J'aime »
Bonjour,
Pour faire simple, les adresses IP servent à identifier les ordinateurs où la faille de GitLab n’a pas été corrigée ce qui laisse les systèmes exposés au piratage de données.
La treemap sert à montrer la répartition géographique des failles.
1 « J'aime »
Cela ne concerne que les gitlab accessibles en IP publique, tout bon système sécurisé (public ou privé) qui limite les utilisateurs devrait aussi limiter les accès, ce qui diminuerait grandement l’impact de cette faille.
Désactiver la récupération de mot de passe pourrait bloquer l’exploitation de la faille ?
Est-ce que c’est pas ce qu’on fait les serveurs qui sont encore dans la version problématique ?
Je connais un certain nombre d’entreprises françaises qui niveau des mises à jour sont à la ramasse (et parfois même refuse de le faire). Que ses entreprises passe par un workaround ne me semble pas particulièrement choquant.
Après les versions impactées sont récente on dirait. Donc les entreprises ci-dessus évoquées n’ont pas trop de risque ^^
« en exploitant une fonctionnalité de réinitialisation de mot de passe récemment implémentée, compromettant ainsi gravement la sécurité des environnements de développement. »
Explication alambiquée et totalement imprécise pour un problème pourtant simple:
La faille permet d’envoyer le mail de réinitialisations du mot de passe du compte à une adresse email non vérifiée.
Cela impacte la version 16.1.0 implémentée le 1 Mai 2023. Les comptes à double authentification ne sont pas concernés par contre, car la double validation empêche la prise de controle du compte grace à la double validation.
L’auteur de cet article ne semble pas avoir bien saisi le mécanisme de cette faille tout en tentant d’en donner une explication. Un petit effet dunning-kruger?
1 « J'aime »
Salut,
Alors, t’as raison, j’aurais pu mieux expliquer. Toutefois, je te remercie, j’ai parfaitement saisi le mécanisme de la faille, donc cette allusion est plutôt déplacée. Je suis loin d’être expert en cyber, mais je ne me permettrais pas d’écrire sur un sujet que je ne maitrise pas.
En revanche, tu as raison sur le fait que j’aurais pu mieux expliquer que ça en expliquant que les comptes à 2FA n’étaient pas concernés. Le but de l’article était de mettre en valeur l’urgence de la mise à jour et la correction des failles plutôt que de détailler les mécanismes de défense individuels comme l’authentification à deux facteurs.
Par contre, si tu es intéressé par l’effet Dunning-Kruger (à ne pas citer à la légère, c’est une véritable théorie hein), je te conseille la lecture de mon article sur ce sujet sur le média Presse-Citron, pour lequel je collabore, entre autres (iPhon.fr, Lemon, etc.).
Va sur Google et tape : Pourquoi sommes-nous si sûrs de nous sur Internet ?
Merci pour ton retour néanmoins.
1 « J'aime »
Bonjour,
M Camille Coirault, je suis parfaitement d’accord avec Baxter_X et votre réponse quelque peu agressive m’oblige à vous repondre face a ma compréhension de votre article qui ne met absolument pas en avant le moyen de se protège de cette faille, pourtant si simple, la 2FA. Encore un article pour faire le buz en faisant peur ? Que vous alerter, c’est louable, car important, mais si une solution existe, pourquoi justement ne pas le signaler dans l’article?
1 « J'aime »