GitLab veröffentlicht Patch-Updates: 17.6.2, 17.5.4, 17.4.6

Am 11. Dezember 2024 hat GitLab wichtige Patch-Updates für die Versionen 17.6.2, 17.5.4 und 17.4.6 sowohl für die Community Edition (CE) als auch die Enterprise Edition (EE) veröffentlicht. Diese Updates enthalten eine Reihe von Sicherheits- und Bugfixes, die dringend empfohlen werden, um potenzielle Schwachstellen zu beheben.

Unter den behobenen Sicherheitslücken befinden sich unter anderem:

  • Hohe Schwere: Die Injektion von Network Error Logging (NEL) Headern im Kubernetes-Proxy könnte zu einem Account-Takeover führen (CVE-2024-11274).
  • Denial of Service: Durch wiederholte unauthentifizierte Anfragen könnten Diff-Dateien zu einem DoS-Angriff führen (CVE-2024-8233).
  • Mittlere Schwere: Mehrere Probleme, darunter die Möglichkeit eines Cross-Site Scripting (XSS) in Vulnerabilitätsdetails und ein unkontrollierter Ressourcenverbrauch durch bösartig gestaltete Dateien.

GitLab empfiehlt allen Nutzern, die betroffenen Versionen zu aktualisieren. Die Patch-Versionen sind bereits auf GitLab.com implementiert, und Kunden von GitLab Dedicated müssen keine weiteren Maßnahmen ergreifen.

Related Posts

SonicWall Security Update: Buffer Overflow und Path Traversal Schwachstellen gefunden

Am 3. Dezember 2024 hat SonicWall ein umfassendes Sicherheitsbulletin veröffentlicht, das mehrere kritische Schwachstellen in den SSL-VPN-Produkten der SMA 100-Serie beschreibt. Diese Sicherheitslücken, die von Path Traversal bis hin zu Pufferüberläufen reichen, könnten von Angreifern ausgenutzt werden, um sensible Informationen zu kompromittieren, Code auszuführen oder Authentifizierungsmechanismen zu umgehen. Die betroffenen Versionen reichen bis einschließlich 10.2.1.13-72sv, und SonicWall rät dringend zu einem Upgrade auf die neueste Version 10.2.1.14-75sv oder höher.

Read More

Kritische Sicherheitslücken in der Veeam Service Provider Console

Am 3. Dezember 2024 hat Veeam die Entdeckung und Behebung zweier Sicherheitslücken in der Veeam Service Provider Console (VSPC) Version 8.1 öffentlich bekanntgegeben. Diese Schwachstellen, die als CVE-2024-42448 und CVE-2024-42449 klassifiziert wurden, stellen erhebliche Risiken dar und wurden während interner Tests identifiziert.

Read More

LKA ermittelt nach Hackerangriff auf Klinikum Ingolstadt

Ingolstadt, 10. Dezember 2024 – Nach einem Hackerangriff auf das Klinikum Ingolstadt hat die Zentralstelle Cybercrime Bayern des Landeskriminalamts die Ermittlungen übernommen. Der Vorfall ereignete sich am Sonntag, wurde jedoch frühzeitig von der IT-Abteilung des Klinikums erkannt. Durch sofortige Maßnahmen konnte eine Ausbreitung des Angriffs verhindert werden.

Read More