Gitlab Update behebt mehrere Denial of Service Schwachstellen

GitLab hat kürzlich wichtige Sicherheits- und Fehlerkorrekturen in den neuesten Patch-Versionen 16.11.2, 16.10.5 und 16.9.7 für die Community Edition (CE) und die Enterprise Edition (EE) veröffentlicht. Diese Updates adressieren mehrere Sicherheitslücken, die in früheren Versionen gefunden wurden, und stellen Verbesserungen dar, die die Sicherheit und Stabilität der Software erhöhen.

Zu den wichtigsten Sicherheitskorrekturen gehört die Behebung einer Schwachstelle im Zusammenhang mit der Verwendung von Wildcards in der Branch-Suche, die zu einem Regular Expression Denial of Service (ReDoS) führen konnte (CVE-2024-2878). Diese Sicherheitslücke wurde als hoch eingestuft und betrifft alle Versionen ab 15.7 bis vor 16.9.7, ab 16.10 bis vor 16.10.5 und ab 16.11 bis vor 16.11.2. GitLab empfiehlt dringend, auf die neueste Patch-Version zu aktualisieren, um dieses Problem zu beheben.

Eine weitere behobene Schwachstelle betrifft die Markdown-Render-Pipeline, wo bösartig gestalteter Markdown-Inhalt einen Dienstausfall verursachen konnte (CVE-2024-2651). Auch diese Lücke wurde in den aktuellen Patches korrigiert.

Zusätzlich wurden Sicherheitsprobleme in Verbindung mit der Integration von Discord und Google Chat behoben, die ebenfalls zu DoS-Angriffen führen konnten. Diese betreffen spezifische Versionen vor den neuesten Patches.

GitLab hebt hervor, dass keine Workarounds für die genannten Sicherheitslücken verfügbar sind und die Installation der neuesten Updates der sicherste Weg ist, um potenzielle Risiken zu minimieren. Die Plattform betont weiterhin die Wichtigkeit guter Sicherheitshygiene und rät allen Nutzern, regelmäßige Updates durchzuführen und die Best Practices zur Sicherung ihrer GitLab-Instanzen zu befolgen.

Für die Zukunft plant GitLab, weiterhin regelmäßig sowohl geplante als auch ad-hoc Sicherheitspatches bereitzustellen, um schnell auf neu entdeckte Bedrohungen reagieren zu können. Nutzer können sich auf der GitLab-Website über neue Releases und Sicherheitsupdates informieren und erhalten dort auch Zugang zu weiterführenden Dokumentationen und dem Sicherheits-FAQ.

Related Posts

VMware Avi Load Balancer: Schwachstelle legt Informationen offen

VMware hat kürzlich ein Advisory für den VMware Avi Load Balancer herausgegeben, um mehrere Sicherheitsanfälligkeiten zu beheben, die unter den Kennungen CVE-2024-22264 und CVE-2024-22266 geführt werden. Diese Schwachstellen wurden erstmals am 7. Mai 2024 identifiziert und am selben Tag in einem initialen Sicherheitshinweis veröffentlicht.

Read More

PDF.js Sicherheitslücke ermöglicht Ausführung von willkürlichem Code

Eine kritische Sicherheitslücke in Mozilla PDF.js, einer in Mozilla Firefox integrierten und auch in anderen Webbrowsern verwendbaren PDF-Anzeigesoftware, könnte Angreifern ermöglichen, willkürlichen Code auszuführen. Die Schwachstelle, bekannt unter den CVE-IDs CVE-2024-4367 und CVE-2024-34342 (react-pdf), betrifft alle Versionen bis einschließlich 4.1.392 bzw. 7.7.3 and 8.0.2 bei react-pdf.

Read More

Zugangskarten Cloning Schwachstelle bei ICT entdeckt

In einem Security Advisory warnt der Zutrittkontrollsystem Hersteller ICT vor einer Schwachstelle in seinen Zutrittssicherungssystemen der Protege-Reihen. Es besteht eine hohe Sicherheitsgefahr durch eine Schwachstelle in den ICT MIFARE und DESFire Karten und Tags/Fobs. Die betroffenen Komponenten speichern Verschlüsselungsschlüssel unsicher im Firmware-Binary, was es Angreifern ermöglicht, Zugangsberechtigungen für jede Kartennummer und jeden Standortcode zu klonen, die die Standard-ICT-Verschlüsselung verwenden.

Read More