Am 23. Oktober 2024 wurden die neuesten Patch-Versionen 17.5.1, 17.4.3 und 17.3.6 für GitLab Community Edition (CE) und Enterprise Edition (EE) veröffentlicht. Diese Releases enthalten bedeutende Fehlerbehebungen und Sicherheitsupdates, die für alle selbstverwalteten GitLab-Installationen dringend empfohlen werden. GitLab.com betreibt bereits die aktualisierten Versionen, und Kunden von GitLab Dedicated müssen keine Maßnahmen ergreifen.
GitLab verwendet zwei Arten von Patch-Releases: geplante Releases, die regelmäßig zweimal im Monat erscheinen, und ad-hoc Patches für schwerwiegende Sicherheitslücken. Die geplanten Updates werden jeweils am zweiten und vierten Mittwoch des Monats veröffentlicht. Weitere Details zu den Veröffentlichungen und Sicherheitsfragen finden sich im GitLab-Handbuch und in den Sicherheits-FAQs.
Zu den wichtigsten behobenen Sicherheitslücken in diesen Releases gehören:
- HTML-Injection in der Global Search führt zu XSS (Cross-Site Scripting)
- Betroffen: Alle Versionen von 15.10 bis 17.3.5, 17.4 bis 17.4.2 und 17.5 bis 17.5.0.
- Schweregrad: Hoch (CVSS-Score: 8.7).
- Angreifer konnten HTML-Injektionen in die Suchfelder einfügen, was zu Cross-Site Scripting führen konnte. Diese Lücke wurde mit der CVE-Nummer CVE-2024-8312 versehen und in den neuen Releases geschlossen.
- Denial-of-Service (DoS) über XML-Manifest-Datei-Import
- Betroffen: Alle Versionen von 11.2 bis 17.3.5, 17.4 bis 17.4.2 und 17.5 bis 17.5.0.
- Schweregrad: Mittel (CVSS-Score: 6.5).
- Durch den Import einer bösartig erstellten XML-Manifestdatei konnten DoS-Angriffe ausgelöst werden. Dieses Problem wurde ebenfalls in den neuesten Versionen behoben und trägt die CVE-Nummer CVE-2024-6826.
Beide Sicherheitslücken wurden über das HackerOne Bug-Bounty-Programm gemeldet und schnell von GitLab gepatcht. Für detailliertere Informationen werden die spezifischen Sicherheitslücken 30 Tage nach dem Release öffentlich im GitLab-Issue-Tracker zugänglich gemacht.
Weitere Änderungen
Neben den sicherheitsrelevanten Fixes gab es auch einige technische Aktualisierungen, darunter:
- Aktualisierung des Ingress NGINX Controllers: Die Bildversion des gebündelten Controllers wurde auf Version 1.11.2 aktualisiert.
- Helm-Charts und DevKit: Die dynamischen Funnels werden nicht länger unterstützt.
GitLab empfiehlt allen Nutzern, die von den oben beschriebenen Problemen betroffen sind, ihre Instanzen umgehend auf die neuesten Versionen zu aktualisieren. Dies betrifft alle Bereitstellungstypen wie Omnibus, Quellcode und Helm Charts. Es wird dringend geraten, stets die neuesten Patch-Versionen zu installieren, um die höchstmögliche Sicherheit zu gewährleisten.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: