Sicherheitsupdate für GitLab patcht XSS und Privilege Escalation

Table of Contents

7. August 2024 – GitLab hat die neuen Patch-Versionen 17.2.2, 17.1.4 und 17.0.6 für die Community Edition (CE) und die Enterprise Edition (EE) veröffentlicht. Diese Updates enthalten wichtige Fehler- und Sicherheitskorrekturen. Es wird dringend empfohlen, alle GitLab-Installationen sofort zu aktualisieren.

Behobene Sicherheitslücken

  1. Privilege Escalation via LFS Tokens (CVE-2024-3035): Mittlere Schwere, betroffene Versionen ab 8.12.
  2. Cross Project Access of Security Policy Bot (CVE-2024-6356): Mittlere Schwere, betroffene Versionen ab 16.0.
  3. Advanced Search ReDOS in Highlight for Code Results: Mittlere Schwere, betroffene Versionen ab 15.9.
  4. Denial of Service via Banzai Pipeline (CVE-2024-5423): Mittlere Schwere, betroffene Versionen ab 1.0.
  5. Denial of Service using Adoc Files (CVE-2024-4210): Mittlere Schwere, betroffene Versionen ab 12.6.
  6. ReDoS in RefMatcher when Matching Branch Names (CVE-2024-2800): Mittlere Schwere, betroffene Versionen ab 11.3.
  7. Path Encoding Issue (CVE-2024-6329): Mittlere Schwere, betroffene Versionen ab 8.16.
  8. XSS in XHTML Files via API (CVE-2024-4207): Mittlere Schwere, betroffene Versionen ab 5.1.
  9. Ambiguous Tag Name Exploitation (CVE-2024-3958): Mittlere Schwere, alle Versionen betroffen.
  10. Sensitive Data in Query Params Logging: Mittlere Schwere, betroffene Versionen ab 13.9.
  11. Password Bypass on Approvals (CVE-2024-4784): Mittlere Schwere, betroffene Versionen ab 16.7.
  12. ReDoS when Parsing Git Push (CVE-2024-3114): Mittlere Schwere, betroffene Versionen ab 11.10.
  13. Webhook Deletion Audit Log (CVE-2024-7586): Mittlere Schwere, betroffene Versionen ab 17.0.

Die vollständigen Release-Notizen und Anweisungen zur Aktualisierung sind auf der offiziellen GitLab-Website verfügbar.

Es wird dringend empfohlen, alle betroffenen Installationen umgehend auf die neueste Version zu aktualisieren, um die beschriebenen Sicherheitsprobleme zu beheben. Weitere Informationen und Best Practices zur Sicherung von GitLab-Instanzen finden Sie im Blogpost von GitLab.

Besuchen Sie für detaillierte Informationen und zum Herunterladen der neuesten Versionen die GitLab Release Seite.

Related Posts

VMware ESXi: Schwachstelle erlaubt vollen ESXi Host Zugriff

VMware hat Updates für VMware ESXi und vCenter Server veröffentlicht, um mehrere Sicherheitslücken zu beheben (CVE-2024-37085, CVE-2024-37086, CVE-2024-37087). Diese Schwachstellen wurden am 25. Juni 2024 erstmals gemeldet und betreffen die Produkte VMware Cloud Foundation, VMware ESXi und VMware vCenter Server. Eine Privilege Escalation Schwachstelle ist dabei besonders prekär, denn Sie erlaubt unter Umständen Vollzugriff auf das Host System.

Read More

Hotjar: XSS Schwachstelle in OAuth betraf über 1 Mio Webseiten

Salt Labs hat in seinem Blogpost demonstriert, wie durch die Kombination von XSS mit OAuth neue Exploit-Möglichkeiten entstehen. Die Schwachstelle betraf auch die beliebte Plattform Hotjar, die mit über 1 Mio Websiten verbunden ist.

Read More

Linksys-Router verschicken Login Daten unverschlüsselt in die USA

Laut einem Bericht von test-ankoop.be weisen Linksys Mesh-Router Velop Pro WiFi 6E und Pro 7 eine gravierende Sicherheitslücke auf. Während der Installation senden diese Geräte sensible Daten wie WLAN-Logins und Passwörter unsicher an Server in den USA, was potenziell Hackerangriffe ermöglicht.

Read More