GitLab Sicherheitspatch vom 23.10.24 stopft XSS Lücke in der Suche

Table of Contents

Am 23. Oktober 2024 wurden die neuesten Patch-Versionen 17.5.1, 17.4.3 und 17.3.6 für GitLab Community Edition (CE) und Enterprise Edition (EE) veröffentlicht. Diese Releases enthalten bedeutende Fehlerbehebungen und Sicherheitsupdates, die für alle selbstverwalteten GitLab-Installationen dringend empfohlen werden. GitLab.com betreibt bereits die aktualisierten Versionen, und Kunden von GitLab Dedicated müssen keine Maßnahmen ergreifen.

GitLab verwendet zwei Arten von Patch-Releases: geplante Releases, die regelmäßig zweimal im Monat erscheinen, und ad-hoc Patches für schwerwiegende Sicherheitslücken. Die geplanten Updates werden jeweils am zweiten und vierten Mittwoch des Monats veröffentlicht. Weitere Details zu den Veröffentlichungen und Sicherheitsfragen finden sich im GitLab-Handbuch und in den Sicherheits-FAQs.

Zu den wichtigsten behobenen Sicherheitslücken in diesen Releases gehören:

  1. HTML-Injection in der Global Search führt zu XSS (Cross-Site Scripting)
  • Betroffen: Alle Versionen von 15.10 bis 17.3.5, 17.4 bis 17.4.2 und 17.5 bis 17.5.0.
  • Schweregrad: Hoch (CVSS-Score: 8.7).
  • Angreifer konnten HTML-Injektionen in die Suchfelder einfügen, was zu Cross-Site Scripting führen konnte. Diese Lücke wurde mit der CVE-Nummer CVE-2024-8312 versehen und in den neuen Releases geschlossen.
  1. Denial-of-Service (DoS) über XML-Manifest-Datei-Import
  • Betroffen: Alle Versionen von 11.2 bis 17.3.5, 17.4 bis 17.4.2 und 17.5 bis 17.5.0.
  • Schweregrad: Mittel (CVSS-Score: 6.5).
  • Durch den Import einer bösartig erstellten XML-Manifestdatei konnten DoS-Angriffe ausgelöst werden. Dieses Problem wurde ebenfalls in den neuesten Versionen behoben und trägt die CVE-Nummer CVE-2024-6826.

Beide Sicherheitslücken wurden über das HackerOne Bug-Bounty-Programm gemeldet und schnell von GitLab gepatcht. Für detailliertere Informationen werden die spezifischen Sicherheitslücken 30 Tage nach dem Release öffentlich im GitLab-Issue-Tracker zugänglich gemacht.

Weitere Änderungen

Neben den sicherheitsrelevanten Fixes gab es auch einige technische Aktualisierungen, darunter:

  • Aktualisierung des Ingress NGINX Controllers: Die Bildversion des gebündelten Controllers wurde auf Version 1.11.2 aktualisiert.
  • Helm-Charts und DevKit: Die dynamischen Funnels werden nicht länger unterstützt.

GitLab empfiehlt allen Nutzern, die von den oben beschriebenen Problemen betroffen sind, ihre Instanzen umgehend auf die neuesten Versionen zu aktualisieren. Dies betrifft alle Bereitstellungstypen wie Omnibus, Quellcode und Helm Charts. Es wird dringend geraten, stets die neuesten Patch-Versionen zu installieren, um die höchstmögliche Sicherheit zu gewährleisten.

Related Posts

Proof of Concept zur Microsoft Remote Registry-Client Privilege Escalation Schwachstelle CVE-2024-43532

Am 19. Oktober 2024 entdeckte der Akamai-Forscher Stiv Kupchik eine kritische Sicherheitslücke (CVE-2024-43532) im Microsoft Remote Registry-Client. Diese Schwachstelle ermöglicht eine Erhöhung der Berechtigungen (EoP) und hat einen CVSS-Score von 8.8. Sie missbraucht veraltete Transportprotokolle, um NTLM-Anmeldeinformationen zu relayn, was Angreifern ermöglicht, Zertifikate für die Domänenauthentifizierung zu erhalten. Microsoft hat die Lücke im Oktober 2024 gepatcht. Betroffene Windows-Versionen sollten dringend aktualisiert werden, um diese Schwachstelle zu beheben.

Read More

Kritische Zero-Day-Schwachstelle in ScienceLogic EM7 (CVE-2024-9537) führte zu Rackspace-Sicherheitsvorfall

Am 21. Oktober 2024 berichtete Rackspace über eine Sicherheitslücke (CVE-2024-9537) in ScienceLogic EM7, die von einer Zero-Day-Schwachstelle in einer Drittanbieter-Komponente verursacht wurde. Diese Schwachstelle mit einem CVSS-Score von 9.8 ermöglicht Remote Code Execution und wurde von Angreifern genutzt, um auf Überwachungsdaten zuzugreifen. Obwohl keine sensiblen Daten betroffen waren, wurde ein Patch veröffentlicht, und Rackspace hat seine Kunden benachrichtigt. Alle Nutzer von SL1 werden dringend zur Aktualisierung aufgefordert.

Read More

Cisco untersucht mutmaßlichen Sicherheitsvorfall

Am 15. Oktober 2024 meldete Cisco einen potenziellen Sicherheitsvorfall, bei dem ein unbefugter Akteur angeblich Zugriff auf Daten von Cisco und dessen Kunden erlangt haben soll. Cisco konnte bisher keine Beweise für einen Systembruch finden. Die fraglichen Daten stammen von einem öffentlich zugänglichen DevHub, wobei keine sensiblen Informationen entdeckt wurden. Aus Vorsicht wurde der Zugang vorübergehend deaktiviert. Cisco setzt die Untersuchung fort und wird betroffene Kunden direkt informieren.

Read More