GitLab Patch-Release: Wichtige Sicherheits- und Bugfixes in Versionen 17.6.1, 17.5.3 und 17.4.5
Table of Contents
Am 26. November 2024 hat GitLab neue Patch-Releases für die Community Edition (CE) und Enterprise Edition (EE) veröffentlicht: Versionen 17.6.1, 17.5.3 und 17.4.5. Diese Updates beinhalten kritische Sicherheitskorrekturen und Bugfixes. Alle selbstverwalteten Installationen sollten umgehend auf eine dieser Versionen aktualisiert werden.
Die folgenden Schwachstellen wurden behoben:
1. Privilegieneskalation durch LFS-Tokens (CVE-2024-8114)
- Betroffene Versionen: GitLab 8.12 bis 17.4.4, 17.5 bis 17.5.2, 17.6 bis 17.6.0.
- Beschreibung: Angreifer mit Zugriff auf das Personal Access Token (PAT) eines Benutzers können Privilegien eskalieren.
- Schweregrad: Hoch (CVSS: 8.2).
- Lösung: Behoben in den aktuellen Patch-Releases.
2. DoS durch fehlerhafte Verarbeitung von cargo.toml-Dateien (CVE-2024-8237)
- Betroffene Versionen: Alle Versionen vor 17.4.5, 17.5.3 und 17.6.1.
- Beschreibung: Ein Angreifer kann durch manipulierte
cargo.toml-Dateien eine Überlastung und Denial-of-Service (DoS) auslösen. - Schweregrad: Mittel (CVSS: 6.5).
3. Unbeabsichtigter Zugriff auf Nutzungsdaten über Scoped Tokens (CVE-2024-11669)
- Betroffene Versionen: GitLab 16.9.8 bis 17.4.4, 17.5 bis 17.5.2, 17.6 bis 17.6.0.
- Beschreibung: Bestimmte API-Endpunkte konnten unautorisierten Zugriff auf sensible Daten ermöglichen.
- Schweregrad: Mittel (CVSS: 6.5).
4. DoS über die Harbor-Registry-Integration (CVE-2024-8177)
- Betroffene Versionen: GitLab 15.6 bis 17.4.4, 17.5 bis 17.5.2, 17.6 bis 17.6.0.
- Beschreibung: Integration mit einer manipulierten Harbor-Registry kann Ressourcenerschöpfung und DoS verursachen.
- Schweregrad: Mittel (CVSS: 5.3).
5. Ressourcenerschöpfung durch test_report-API-Aufrufe (CVE-2024-1947)
- Betroffene Versionen: GitLab 13.2.4 bis 17.4.4, 17.5 bis 17.5.2, 17.6 bis 17.6.0.
- Beschreibung: Ein Angreifer kann durch speziell gestaltete API-Aufrufe einen DoS-Zustand erzeugen.
- Schweregrad: Mittel (CVSS: 4.3).
6. Ungültige Token-Invalidierung für Streaming-Endpunkte (CVE-2024-11668)
- Betroffene Versionen: GitLab 16.11 bis 17.4.4, 17.5 bis 17.5.2, 17.6 bis 17.6.0.
- Beschreibung: Token blieben bei Langzeitverbindungen auch nach Widerruf gültig, was unautorisierte Zugriffe ermöglichte.
- Schweregrad: Mittel (CVSS: 4.2).
Die Updates enthalten außerdem wichtige Fehlerkorrekturen, darunter:
- Version 17.6.1: Verbesserung der Lizenz-Validierung für SBOM-Daten.
- Version 17.5.3: Stabilitätsverbesserungen in Merge-Train-Validierungen und Token-Invalidierungen.