Wichtige Updates sichern GitLab ab
Wer Software-Projekte über GitLab verwaltet, sollte zügig die aktuellen Sicherheitspatches installieren. Sonst könnten Angreifer eventuell Schadcode ausführen.
In verschiedenen Versionen der Community (CE) und Enterprise Edition (EE) von GitLab klaffen zwei Sicherheitslücken. Nutzen Angreifer diese aus, sollen sie unter anderem Informationen abziehen oder sogar Schadcode ausführen können, warnen die Entwickler.
Das Notfallteam des BSI CERT Bund stuft das von den Lücken ausgehende Risiko mit "hoch" ein. Abgesichert sind die Ausgaben 10.3.9, 10.4.6 und 10.5.6. Bedroht sollen die Versionen ab 8.3 sein. Die GitLab-Entwickler empfehlen eine rasche Installation der reparierten Ausgaben.
Die Schwachstellen
Um eine SSRF-Lücke in GitLab CE und EE auszunutzen, muss sich ein Angreifer im gleichen Netzwerk befinden. Welche Rechte für einen erfolgreichen Angriff nötig sind, ist derzeit nicht bekannt. Klappt eine Attacke, soll ein Angreifer unrechtmäßig auf Informationen zugreifen, die Authentifizierung umgehen oder sogar Schadcode ausführen können. Weitere Details wollen die GitLab-Entwickler erst ist in einem Monat veröffentlichen. Dann sollten hoffentlich die Meisten die Sicherheitsupdates installiert haben.
Die zweite Lücke betrifft nur GitLab CE. Dabei gibt es ein Auth0-Problem und es kann dazu kommen, dass plötzlich falsche Nutzer angemeldet sind. (des)
