Self-Hosted Gitlab jetzt patchen: kritische Sicherheitslücke entdeckt

Table of Contents

Die kürzlich entdeckte Sicherheitslücke CVE-2023-7028 in GitLab, einer beliebten Webanwendung zur Versionsverwaltung von Softwareprojekten, hat für erhebliche Bedenken in der IT-Community gesorgt. Diese Schwachstelle ermöglicht es einem Angreifer, die Integrationen von GitLab mit Slack und Mattermost auszunutzen, um Slash-Befehle im Namen eines anderen Benutzers auszuführen. Dies stellt ein erhebliches Sicherheitsrisiko dar, da es die Integrität der Kommunikation und die Authentizität der Benutzerinteraktionen beeinträchtigen kann. Nutzer von GitLab, insbesondere diejenigen, die ältere Versionen verwenden, sollten dringend ihre Systeme auf die neuesten Versionen aktualisieren, um sich vor möglichen Auswirkungen dieser Sicherheitslücke zu schützen.

Die Gefahrenlage

wer nicht patcht, dem drohen folgende Gefahren:

  • Kritisch: Kontenübernahme durch Passwort-Reset ohne Benutzerinteraktion
  • Kritisch: Missbrauch von Slack/Mattermost-Integrationen zur Ausführung von Slash-Befehlen als anderer Benutzer
  • Hoch: Umgehung der Entfernung der CODEOWNERS-Zustimmung
  • Mittel: Erstellung von Workspaces unter anderem Root-Namespace
  • Gering: Ignorieren von Headern nach der Commit-Signatur bei der Signaturvalidierung

Related Posts

Hackerangriff auf Handwerkskammern in NRW

In der ersten Januarwoche 2024 ereignete sich ein gravierender Sicherheitsvorfall im Rechenzentrum des IT-Dienstleisters, der mehrere Handwerkskammern in Deutschland, einschließlich der Handwerkskammer Düsseldorf, betraf. Dieser Vorfall führte dazu, dass die Internetseiten und Online-Services vieler Handwerkskammern nicht erreichbar sind.

Read More

Sicherheitswarnung für IBM DB2 veröffentlicht

Am 8. Januar 2024 wurde eine Sicherheitswarnung für IBM DB2 veröffentlicht. Diese betrifft das Betriebssystem Windows und das Produkt IBM DB2. Die Schwachstelle, gekennzeichnet als CVE-2023-47145, ermöglicht es lokalen Angreifern, ihre Privilegien zu erhöhen. Der CVSS Base Score liegt bei 8,4, was auf ein hohes Risiko hinweist. Betroffen sind IBM DB2 Versionen 11.5.x, 10.5.0.x und 11.1.4.x. Nutzer dieser Systeme sollten sicherstellen, dass sie auf dem neuesten Stand sind und die neuesten Sicherheitspatches installieren. Weitere Informationen finden Sie im IBM Security Bulletin 7105500 vom 07. Januar 2024

Read More

Vernetzte Akkuschrauber von Bosch-Rexroth leicht zu hacken

Kürzliche Untersuchungen haben bedeutende Sicherheitslücken in den vernetzten Werkzeugen von Bosch Rexroth aufgezeigt, insbesondere beim NXA015S-36V-B, einem pneumatischen Drehmomentschlüssel oder Schrauber, der oft in der Automobilindustrie verwendet wird. Diese Schwachstellen könnten potenziell von Hackern ausgenutzt werden, um Ransomware-Angriffe zu starten oder Betriebsunterbrechungen zu verursachen.

Read More