7. August 2024 – GitLab hat die neuen Patch-Versionen 17.2.2, 17.1.4 und 17.0.6 für die Community Edition (CE) und die Enterprise Edition (EE) veröffentlicht. Diese Updates enthalten wichtige Fehler- und Sicherheitskorrekturen. Es wird dringend empfohlen, alle GitLab-Installationen sofort zu aktualisieren.
Behobene Sicherheitslücken
- Privilege Escalation via LFS Tokens (CVE-2024-3035): Mittlere Schwere, betroffene Versionen ab 8.12.
- Cross Project Access of Security Policy Bot (CVE-2024-6356): Mittlere Schwere, betroffene Versionen ab 16.0.
- Advanced Search ReDOS in Highlight for Code Results: Mittlere Schwere, betroffene Versionen ab 15.9.
- Denial of Service via Banzai Pipeline (CVE-2024-5423): Mittlere Schwere, betroffene Versionen ab 1.0.
- Denial of Service using Adoc Files (CVE-2024-4210): Mittlere Schwere, betroffene Versionen ab 12.6.
- ReDoS in RefMatcher when Matching Branch Names (CVE-2024-2800): Mittlere Schwere, betroffene Versionen ab 11.3.
- Path Encoding Issue (CVE-2024-6329): Mittlere Schwere, betroffene Versionen ab 8.16.
- XSS in XHTML Files via API (CVE-2024-4207): Mittlere Schwere, betroffene Versionen ab 5.1.
- Ambiguous Tag Name Exploitation (CVE-2024-3958): Mittlere Schwere, alle Versionen betroffen.
- Sensitive Data in Query Params Logging: Mittlere Schwere, betroffene Versionen ab 13.9.
- Password Bypass on Approvals (CVE-2024-4784): Mittlere Schwere, betroffene Versionen ab 16.7.
- ReDoS when Parsing Git Push (CVE-2024-3114): Mittlere Schwere, betroffene Versionen ab 11.10.
- Webhook Deletion Audit Log (CVE-2024-7586): Mittlere Schwere, betroffene Versionen ab 17.0.
Die vollständigen Release-Notizen und Anweisungen zur Aktualisierung sind auf der offiziellen GitLab-Website verfügbar.
Es wird dringend empfohlen, alle betroffenen Installationen umgehend auf die neueste Version zu aktualisieren, um die beschriebenen Sicherheitsprobleme zu beheben. Weitere Informationen und Best Practices zur Sicherung von GitLab-Instanzen finden Sie im Blogpost von GitLab.
Besuchen Sie für detaillierte Informationen und zum Herunterladen der neuesten Versionen die GitLab Release Seite.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: