DevSecOps-Plattform Gitlab: Accountübernahme möglich
Sicherheitsupdates für Gitlab beugen unter anderem unberechtigte Zugriffe und DoS-Attacken vor.
(Bild: AFANASEV IVAN/Shutterstock.com)
Admins sollten aus Sicherheitsgründen ihre Gitlab-Installation auf den aktuellen Stand bringen. Andernfalls können Angreifer an mehreren Schwachstellen ansetzen und Systeme kompromittieren.
In einem Beitrag schreiben die Entwickler, dass auf Gitlab.com bereits die abgesicherten Ausgaben laufen. Für selbstverwaltete Gitlab-Installation sind nun die Ausgaben 17.4.6, 17.5.4 und 17.6.2 in der Community Edition und Enterprise Edition erschienen.
Sicherheitspatches installieren
Insgesamt haben die Entwickler zwölf Sicherheitslücken geschlossen. Zwei davon sind mit dem Bedrohungsgrad "hoch" eingestuft (CVE-2024-11274, CVE-2024-8233). Im ersten Fall können Angreifer durch Manipulation von Kubernetes-Proxy-Responses Accounts übernehmen. Im zweiten Fall sind DoS-Attacken vorstellbar.
Videos by heise
Die verbleibenden Lücken sind mit "mittel" und "niedrig" eingestuft. Hier sind Zugriffe auf eigentlich abgeschirmte Informationen möglich (CVE-2024-10043). Die Entwickler raten zu einem zügigen Update. Bislang gibt es keine Berichte über laufende Attacken.
(des)
