Gitlab a annoncé l'existence d'une faille de sécurité CVE-2016-4340. On ne connait pas encore les détails de cette dernière. D'après hacker news, de nombreuses versions sont affectées :
- 8.7.0
- 8.6.0 à 8.6.7
- 8.5.0 à 8.5.11
- 8.4.0 à 8.4.9
- 8.3.0 à 8.3.8
- 8.2.0 à 8.2.4
Gitlab annonce un correctif le 2 mai, publié à 23:59 GMT.
L'annonce à l'avance de la faille fait craindre une monté en privilège assez facile de la part d'un attaquant. Sur les commentaires de hacker news, il est indiqué qu'une analyse post-mortem sera effectuée.
En attendant, j'ai choisi de stopper mon instance gitlab avant la publication du correctif, afin d'avoir le temps de l'appliquer sereinement.