Versionsverwaltung: GitLab-Update schließt kritische Sicherheitslücke
Aktualisierte Pakete der Versionsverwaltung schließen Sicherheitslücken in GitLab CE und EE. Eine Schwachstelle erhält die Risiko-Einstufung "kritisch".
Die Entwickler der Versionsverwaltungssoftware GitLab haben aktualisierte Pakete veröffentlicht, die mehrere Sicherheitslücken schließen – insgesamt acht Stück. Eine davon stufen sie sogar als kritisch ein. Sowohl die Community-Edition wie auch die Enterprise-Edition stehen in neuer Fassung bereit.
Die als kritisch eingestufte Schwachstelle könnte Angreifern erlauben, Konten zu übernehmen. Dazu sind jedoch einige Nebenbedingungen erforderlich: GitLab unterstützt zur Authentifizierung von Nutzern Single-Sign-On-Verfahren. In der Premium-Plus-Abo-Version gibt es eine Funktion "Group SAML SSO". Hinter dem Kürzel SAML verbirgt sich die "Security Assertion Markup Language", ein XML-Format zum Austauschen von Autorisierungsinformationen. GitLab ermöglicht, die Authentifizierung mittels SSO für Gruppen zu aktivieren.
Kritisches Leck in GitLab-Premium-Feature
Besitzer einer Premium-Gruppe konnten beliebige Nutzer mit Username und E-Mail-Adresse einladen. Anschließend ließ sich die E-Mail-Adresse mittels "System for Cross-domain Identity Management" (SCIM) zum Austausch von Identitäts-Informationen auf eine von bösartigen Akteuren kontrollierte Adresse abändern. Schließlich hätten sie aufgrund fehlender Zwei-Faktor-Authentifizierung diese Konten übernehmen können, schreiben die GitLab-Entwickler in ihrer Versionsmeldung (CVE-2022-1680, CVSS 9.9, Risiko "kritisch").
Aufgrund fehlender Eingabeüberprüfungen in sogenannten "Quick Actions" hätten Menschen mit bösartigen Absichten eine Cross-Site-Scripting-Lücke (XSS) zum Einschmuggeln von HTML in Kontakt-Details ausnutzen können. Das stufen die Entwickler als Lücke mit hohem Schweregrad ein (CVE-2022-1948, CVSS 8.7, hoch). In der Jira-Integration in GitLab EE hätten Angreifer zudem mit manipulierten Jira-Issue-Einträgen Opfern beliebigen JavScript-Code unterjubeln können, der mit den Rechten des Opfers ausgeführt worden wäre (CVE-2022-1940, CVSS 7.7, hoch).
Weitere vier Schwachstellen mittleren Schweregrads schließen die neuen Versionen. Zwei davon ermöglichten die Umgehung der "IP allowlist", also zum Zugriff erlaubter IP-Adressen (CVE-2022-1935 und CVE-2022-1936, CVSS 6.5, mittel). Ein Fehler davon betrifft eine ungenügende Autorisierung im Interactive Web Terminal (CVE-2022-1944 CVSS 5.4, mittel). Die vierte Schwachstelle ermöglichte Mitgliedern in Untergruppen, die Mitglieder der übergeordneten Gruppe aufzulisten (CVE-2022-1821, CVSS 4.3, mittel).
Als niedriges Risiko haben die Programmierer eine Schwachstelle einsortiert, durch die bösartige Gruppenverwalter noch Gruppenmitglieder hinzufügen hätten können, obwohl die Liste vom Besitzer der Gruppe geschlossen wurde (CVE-2022-1783, CVSS 2.7, niedrig).
Neue Versionen der Versionsverwaltung
Die Fehler betreffen GitLab CE und EE vor den neuen Fassungen 15.0.1, 14.10.4 und 14.9.5. Auf der Update-Seite des GitLab-Projekts stehen die Fassungen für verschiedene Plattformen bereit, etwa das "Omnibus" genannte Paket für Linux, aber auch für Kubernetes oder Docker. Auch für GitLab Runner stehen die Aktualisierungen bereit.
Aufgrund des Schweregrads von einigen der geschlossenen Lücken sollten Administratoren zügig einen Wartungszeitraum für das Installieren der Updates einplanen.
Lesen Sie auch
GitLab 15: DevOps für alle – auch für Data-Science-Teams
(dmk)