Entwicklungsplattform: Neue GitLab-Versionen beheben zehn Sicherheitslücken
Neben Cross-Site-Scripting und Rechteproblemen beheben die neuen Versionen der Versionsverwaltung auch DoS-Lücken. Das GitLab-Team empfiehlt ein Update.
(Bild: Sashkin/Shutterstock.com)
Die monatlichen Sicherheitsupdates für GitLab beheben im November zehn Lücken, deren Schweregrad von "hoch" bis "niedrig" reicht. Admins sollten ihre Entwicklungsplattform aktualisieren.
Das gefährlichste Sicherheitsproblem betrifft nicht alle GitLab-Installationen, sondern nur solche, die die Jira-Integration nutzen. Durch unzureichende Eingabeprüfung können Angreifer JavaScript-Code in die Browser von GitLab-Nutzern einschleusen – die Cross-Site-Scripting-Lücke mit CVE-ID CVE-2023-6033 erzielt einen CVSS-Punktwert von 8.7 und somit einen hohen Schweregrad.
Die möglichen Auswirkungen einer zweiten Lücke stufen die GitLab-Entwickler ebenfalls als hoch ein: Durch einen Fehler in der Rechtevergabe können Nutzer unter bestimmten Bedingungen mehr Rechte vergeben, als sie selber innehaben, und so eine Rechteausweitung bewirken.
Unerwünschte Paketinstallationen und Emojis
Mehrere Sicherheitsfehler mit mittlerem und niedrigem Schweregrad ermöglichen unter anderem den unerlaubten Zugriff durch externe Nutzer, die Installation von Composer-Paketen trotz anderslautender Konfiguration und die Reaktion mittels Emojis auf nicht dafür freigegebene Projekte. Ausführliche Beschreibungen jedes behobenen Fehlers finden sich auf den GitLab-Projektseiten.
Die Fehlerkorrekturen haben es in die Versionen 16.6.1, 16.5.3 und 16.4.3 der GitLab Community Edition (CE) und Enterprise Edition (EE) geschafft. Admins, die die Entwicklungsplattform in ihrer Organisation einsetzen, dürften die monatliche Aktualisierung im Rahmen ihrer Update-Routinen sowieso eingeplant haben.
GitLab hatte zuletzt im Mai ein kritisches Sicherheitsproblem mit dem CVSS-Höchstwert 10 behoben – der Fehler erlaubte Angreifern, beliebige Dateien auszulesen.
(cku)
