La section suivante décrit tous les bulletins de sécurité liés à Developer Connect.
Pour recevoir les derniers bulletins de sécurité, effectuez l'une des opérations suivantes :
- Ajoutez l'URL de cette page à votre lecteur de flux.
- Ajoutez l'URL du flux directement à votre lecteur de flux.
GCP-2026-048
Publié : 2026-07-13
Description
| Description | Gravité | Remarques |
|---|---|---|
|
Lorsque vous créez ou mettez à jour des connexions de dépôt, Developer Connect utilise les secrets Secret Manager pour s'authentifier auprès des fournisseurs Git tiers. Pour les connexions GitLab Enterprise (GLE) et Bitbucket Data Center (BBDC), ces secrets référencés étaient auparavant récupérés en votre nom par l'agent de service Developer Connect (P4SA). Cela signifiait que les vérifications des autorisations étaient effectuées par rapport aux identifiants du compte de service P4SA plutôt qu'à ceux du principal appelant. Cela pourrait permettre à un principal disposant d'autorisations limitées de lire les secrets Secret Manager référencés en pointant l'URI de l'hôte de connexion au dépôt vers un point de terminaison contrôlé par un pirate informatique. Pour atténuer cette faille et respecter le principe de sécurité du moindre privilège, Developer Connect vérifie désormais les autorisations par rapport aux identifiants du principal appelant (à l'aide des identifiants de l'utilisateur final) et au P4SA lors de l'appel des API de connexion au dépôt pour les connexions GitLab Enterprise (GLE) et Bitbucket Data Center (BBDC). Plus précisément, le serveur vérifie désormais que l'appelant et le P4SA disposent de l'autorisation IAM Que dois-je faire ? Aucune action n'est requise pour les connexions de dépôt existantes. Si vous rencontrez des erreurs d'autorisation lors de la création ou de la mise à jour des connexions de dépôt GitLab Enterprise (GLE) ou Bitbucket Data Center (BBDC), accordez le rôle Accesseur de secrets Secret Manager ( Quelles failles ce correctif permet-il de résoudre ? Cette faille permettait aux utilisateurs disposant d'un accès administrateur à la connexion au dépôt de lire les secrets Secret Manager référencés, car les vérifications des autorisations n'étaient effectuées que par rapport aux identifiants du P4SA. En exigeant des vérifications des autorisations par rapport au principal appelant (à l'aide des identifiants de l'utilisateur final) et au P4SA pour les connexions GitLab Enterprise (GLE) et Bitbucket Data Center (BBDC), seuls les utilisateurs autorisés avec l'autorisation IAM |
Moyenne |