GitLab - Kritische Sicherheitslücken wurden gepatcht

GitLab hat am 27.6.24 die Versionen 17.1.1, 17.0.3 und 16.11.5 für die Community Edition (CE) und Enterprise Edition (EE) veröffentlicht. Diese Updates enthalten wichtige Fehler- und Sicherheitskorrekturen. Es wird dringend empfohlen, alle GitLab-Installationen sofort auf eine dieser Versionen zu aktualisieren. GitLab.com nutzt bereits die gepatchte Version.

Der Patch beinhaltet folgende Fixes.

  1. Run pipelines as any user: Kritische Sicherheitslücke (CVE-2024-5655) behoben, die es einem Angreifer ermöglichte, Pipelines als anderer Benutzer auszuführen.
  2. Stored XSS: Hohe Sicherheitslücke (CVE-2024-4901) in Commit-Notizen behoben.
  3. CSRF auf GraphQL API: Hohe Sicherheitslücke (CVE-2024-4994) behoben.
  4. Unauthorized repo search results: Hohe Sicherheitslücke (CVE-2024-6323) behoben.

Alle Benutzer sollten ihre Installationen umgehend auf die neuesten Versionen aktualisieren, um die Sicherheit ihrer Systeme zu gewährleisten. Weitere Informationen finden Sie im GitLab Blog.

Related Posts

Adobe: kritische Sicherheitslücke in Magento Shop System

Am 11. Juni 2024 veröffentlichte Adobe ein wichtiges Sicherheitsupdate für Adobe Commerce, Magento Open Source und das Adobe Commerce Webhooks Plugin. Das Update schließt kritische Sicherheitslücken, die bei erfolgreicher Ausnutzung zur Ausführung beliebigen Codes, zur Umgehung von Sicherheitsmechanismen und zur Eskalation von Benutzerrechten führen können. Diese Schwachstellen betreffen Versionen bis einschließlich 2.4.7 und früher, sowie einige ältere, von Kunden des Extended Support Program genutzte Versionen.

Read More

Sicherheitslücke in IoT Plattform Apache StreamPipes entdeckt

Ende Juni 2024 wurde eine kritische Sicherheitslücke in der IoT-Plattform Apache StreamPipes bekannt gegeben. Die Schwachstelle CVE-2024-29868 betrifft die Generierung von Wiederherstellungs-Token im Rahmen der Benutzer-Selbstregistrierung und des Passwort-Wiederherstellungsmechanismus. Diese Schwachstelle beruht auf der Verwendung eines kryptografisch schwachen Pseudozufallszahlengenerators (PRNG).

Read More

V3B-Phishing-Kit bedroht europäische Banken

Von Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

Read More