Correction d’une faille de sécurité Simple Hosting via Git

01.06.2018 - écrit par  dans Le Bar de Gandi

Une faille de sécurité impactant les instances Simple Hosting utilisant Git a été corrigée la nuit dernière. En effet, nous avons été informés qu’un problème d’authentification permettait d’accéder en lecture seule aux interfaces web de consultation des dépôts Git sur les instances Simple Hosting.

Une notification de l’incident a été envoyée aux clients dont les instances présentent au moins un dépôt Git (soit environ 5% des instances Simple Hosting). Si vous n’avez jamais utilisé Git, vous n’êtes pas concerné par ce message.

Détails de l’incident :

  • À 18:10 UTC le 31 mai, nos équipes techniques prennent connaissance d’un problème d’authentification sur les accès à l’interface web de consultation des dépôts Git.
  • À 18:15 UTC, nos équipes coupent l’accès aux interfaces de consultation (cgit) sur les instances Simple Hosting de l’ensemble de nos centres de données.
  • À 18:44 UTC, un correctif est appliqué à l’ensemble des instances impactées sur les centres de données FR-SD3, FR-SD5 et FR-SD6.
  • À 19:25 UTC, le correctif est également appliqué aux instances impactées hébergées sur notre centre de données LU-BI1.
  • À 21:40 UTC, l’accès aux interfaces de consultation est rétabli.

Après investigation, nous avons pu constater que cette faille de sécurité existait depuis la migration des instances entre FR-SD2 et nos nouveaux centres de données, et sur l’ensemble des instances créées à partir du 4 octobre 2017.

Situation actuelle :

L’authentification est à nouveau en place pour accéder à l’interface web de consultation des dépôts Git.

Nous n’avons constaté pour l’heure aucune intrusion, et le problème d’authentification portant uniquement sur l’accès en lecture seule, vos données n’ont pas pu être modifiées. Nous ne pouvons malheureusement pas garantir qu’elles n’aient pas été consultées, aussi nous vous recommandons de changer les mots de passe de l’ensemble des services dont vous auriez stocké les identifiants dans votre dépôt Git.

Si vous souhaitez consulter les journaux d’accès à votre instance, il est possible de les retrouver dans le Panneau de Contrôle de chaque instance, à la rubrique Logs Apache.

Si nous constatons la moindre anomalie à l’issue de nos investigations, nous mettrons ce billet à jour et ne manquerons pas de revenir vers les clients concernés par mail.

Si vous avez la moindre question au sujet de l’impact de cet incident sur votre instance Simple Hosting, n’hésitez pas à vous rapprocher du Service Client.