GitLab hat heute die Versionen 17.0.1, 16.11.3 und 16.10.6 für die Community Edition (CE) und Enterprise Edition (EE) veröffentlicht. Diese Updates beheben mehrere kritische Sicherheitslücken und Bugs. Alle GitLab-Installationen sollten sofort auf eine dieser Versionen aktualisiert werden. GitLab.com nutzt bereits die gepatchte Version.
Die neuen Patch-Versionen beheben eine Reihe von Sicherheitsproblemen, darunter:
- 1-Click Account Takeover via XSS: Eine Cross-Site-Scripting-Schwachstelle in der Code-Editor-Komponente, die es einem Angreifer ermöglicht, sensible Benutzerinformationen zu stehlen (CVE-2024-4835).
- DoS in Runner ‚Description‘ Field: Eine Denial-of-Service-Schwachstelle, die durch eine manipulierte Beschreibung in einem Runner ausgelöst werden kann (CVE-2024-2874).
- CSRF via K8s Cluster-Integration: Eine Cross-Site Request Forgery-Schwachstelle, die Anti-CSRF-Tokens über den Kubernetes Agent Server exfiltrieren kann (CVE-2023-7045).
- Pipeline Status API Issue: Eine Schwachstelle, bei der eine falsch konfigurierte API-Anforderung zur Erstellung neuer Pipelines führen kann.
- Redos on Wiki Render API/Page: Eine Denial-of-Service-Schwachstelle, die durch eine manipulierte Wiki-Seite ausgelöst werden kann (CVE-2023-6502).
- Resource Exhaustion via Test_Report API: Eine Denial-of-Service-Schwachstelle durch manipulierte API-Anfragen (CVE-2024-1947).
- Guest User Access to Dependency Lists: Ein Problem, bei dem Gastbenutzer die Abhängigkeitslisten privater Projekte einsehen können.
Es wird dringend empfohlen, alle betroffenen GitLab-Installationen auf die neuesten Versionen zu aktualisieren, um diese Sicherheitslücken zu schließen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: