Sign in Subscribe
By Jean-Marc BIAUDIS in GitLab

GitLab touché par des failles critiques : code, DoS et fuites en vue

Quand l'outil de gestion de code source préféré des équipes DevOps annonce plusieurs failles critiques, toute la chaîne de développement tremble. C'est exactement ce qui se passe après la publication, le 28 août 2025, de l'avis CERTFR-2025-AVI-0736 qui recense des vulnérabilités dans GitLab.

Executions de code, dénis de service et fuites de données

Les trois catégories de risques identifiées sont particulièrement sévères :

  • Exécution de code arbitraire : un attaquant peut prendre le contrôle du serveur et accéder à tous les projets hébergés.
  • Déni de service à distance : une simple requête malveillante suffit à saturer l'instance rendant l'outil inutilisable.
  • Brèche de confidentialité : tokens, variables d'environnement et même extraits de codes confidentiels peuvent être exfiltrés.

Quels systèmes sont concernés ?

Si vous hébergez GitLab Community Edition ou Enterprise Edition en version 16.9 inférieure à 16.9.9, 16.10 inférieure à 16.10.7 ou 16.11 inférieure à 16.11.4, vous êtes directement exposés. Les instances SaaS sur GitLab.com ont déjà été patchées, mais les serveurs « on-premise » doivent être mis à jour immédiatement.

Actions immédiates recommandées

  1. Mettre à jour vers la dernière version mineure disponible dès que possible.
  2. Restreindre l'accès réseau à l'instance via des listes d'IP ou un VPN.
  3. Auditer les logs de connexion et les accès anormaux des 30 derniers jours.
  4. Rotation systématique des tokens CI/CD et des variables de déploiement.

Sécurité DevSecOps : le rappel nécessaire

La chaîne d'intégration continue est une cible de choix : un seul serveur compromis peut propager des backdoors dans tous les artefacts livrés. Ces vulnérabilités GitLab ravivent la nécessité de sécuriser non seulement le code, mais aussi la plateforme qui l'héberge. Adoptez le principe du « least privilege » et isolez les environnements sensibles.

Pour consulter le détail officiel des failles et de leurs scores CVSS, consultez l'avis du CERT-FR.

Et vous, avez-vous déjà appliqué le correctif ? Partagez vos méthodes de mitigation dans les commentaires !

Subscribe to jmarc

Don’t miss out on the latest issues. Sign up now to get access to the library of members-only issues.
jamie@example.com
Subscribe