La faille en question, connue sous le nom de CVE-2024-5655, permettait à des attaquants de lancer des pipelines en usurpant l'identité d'autres utilisateurs. Imaginez que quelqu'un puisse entrer dans votre cuisine et donner des ordres à vos robots cuisiniers en prétendant être vous. Pas cool, hein ? GitLab a donc réagi vite et a publié une mise à jour pour régler ce problème.

Les changements apportés

La mise à jour corrige la faille, mais elle apporte aussi des modifications importantes :

- Pipelines manuels : Désormais, les pipelines ne se déclenchent plus automatiquement quand une merge request est reciblée après la fusion de sa branche cible précédente. Vous devrez lancer manuellement le pipeline pour que l'intégration continue se fasse. C’est un peu comme si vos robots cuisiniers attendaient maintenant votre feu vert avant de se mettre au travail.

- Nouveaux jetons API : Le jeton CI_JOB_TOKEN est maintenant désactivé par défaut pour l'authentification GraphQL. Vous devrez configurer un autre type de jeton pour accéder à l'API GraphQL.

Autres correctifs de sécurité

GitLab n'a pas seulement corrigé cette faille critique. La mise à jour règle aussi 13 autres problèmes de sécurité, dont certains étaient assez sérieux. Parmi eux, on trouve :

• Une vulnérabilité XSS stockée
• Une faille CSRF dans l'API GraphQL
• Un problème d'autorisation dans la recherche globale

Ce que vous devez faire

Pour sécuriser vos projets et vous adapter aux nouveaux changements, voici quelques recommandations.

Tout d'abord, mettez à jour GitLab en installant les versions correctives 17.1.1, 17.0.3 ou 16.11.5 selon votre version actuelle. Cette étape est cruciale pour corriger les vulnérabilités identifiées et assurer la sécurité de vos projets.

Ensuite, si vous utilisez l'API GraphQL, vous devez revoir l'authentification. Configurez un nouveau type de jeton compatible, car le CI_JOB_TOKEN est désormais désactivé par défaut.

Il est également important d'adapter vos workflows. Préparez-vous à lancer manuellement les pipelines pour les merge requests reciblées. Ce changement demande une adaptation, mais il est nécessaire pour garantir la sécurité des processus automatisés.

Vérifiez l'historique de vos pipelines pour détecter toute activité suspecte ou non autorisée. Cette surveillance vous aidera à identifier rapidement les tentatives d'intrusion ou d'abus de vos systèmes.

Profitez de cette mise à jour pour renforcer globalement la sécurité de vos projets. Revoir et améliorer vos pratiques de sécurité, notamment pour les vulnérabilités XSS et CSRF, contribuera à protéger davantage vos données.

Enfin, informez vos équipes des changements et des nouvelles pratiques à adopter. Assurez-vous que tous les utilisateurs soient au courant des modifications apportées et sachent comment réagir en conséquence.

Suivez attentivement les annonces de GitLab pour d'éventuelles mises à jour ou recommandations supplémentaires. Rester informé vous permettra de réagir rapidement à toute nouvelle menace ou amélioration de la sécurité.