GitLab Sicherheitslücke ermöglicht Usern beliebige Pipelines zu starten

Am 11. September 2024 hat GitLab die kritischen Patch-Versionen 17.3.2, 17.2.5 und 17.1.7 für die Community Edition (CE) und Enterprise Edition (EE) veröffentlicht. Diese Updates beheben mehrere schwerwiegende Sicherheitslücken, darunter eine kritische Schwachstelle (CVE-2024-6678), die es Angreifern ermöglicht, Pipelines als beliebige Nutzer zu starten. Weitere behobene Sicherheitslücken umfassen Code Injection, SSRF-Angriffe und Denial-of-Service-Schwachstellen.

Alle selbstverwalteten GitLab-Installationen sollten dringend auf die neuesten Versionen aktualisiert werden. GitLab.com-Nutzer und GitLab Dedicated-Kunden sind bereits auf die sicheren Versionen umgestellt.

Related Posts

Kritische Sicherheitslücken im Cisco Smart Licensing Utility entdeckt

Cisco hat am 4. September 2024 Sicherheitsupdates für das Cisco Smart Licensing Utility veröffentlicht, um zwei kritische Schwachstellen (CVE-2024-20439, CVE-2024-20440) zu beheben. Diese Schwachstellen ermöglichen es einem unauthentifizierten, entfernten Angreifer, sensible Informationen zu sammeln oder administrative Aktionen auf einem betroffenen System auszuführen.

Read More

Kritische Schwachstelle in der YAML Deserialisierung von Kibana entdeckt

Zwei schwerwiegende Sicherheitslücken (CVE-2024-37288 und CVE-2024-37285) in Kibana ermöglichen die Ausführung von beliebigem Code durch unsichere YAML-Deserialisierung. Diese Lücken betreffen Benutzer, die den Amazon Bedrock Connector in Kibana 8.10.0 bis 8.15.0 verwenden.

Read More

ECDSA Schwachstelle in YubiKey und YubiHSM entdeckt

Eine Sicherheitslücke (YSA-2024-03) wurde in der kryptographischen Bibliothek von Infineon entdeckt, die in YubiKey 5 Series und YubiHSM 2 mit Firmware-Versionen vor 5.7.0 bzw. 2.4.0 verwendet wird. Die Schwachstelle ermöglicht es einem Angreifer, in einem gezielten Angriff private ECDSA-Schlüssel wiederherzustellen. Dafür sind physischer Zugang zum Gerät und spezielle Ausrüstung erforderlich. Betroffen sind vor allem FIDO-Anwendungen.

Read More