Updates für GitLab schließen kritische Sicherheitslücke
Für die GitLab Community- und Enterprise-Edition haben die Entwickler aktualisierte Versionen veröffentlicht, die eine kritische Sicherheitslücke schließen.
(Bild: Tatiana Popova/Shutterstock.com)
Gitlab schließt mit neuen Versionen der Community- und Enterprise-Edition eine Sicherheitslücke. Sie ermöglicht authentifizierten Angreifern, eingeschleusten Schadcode auszuführen durch Zugriff auf den Import from GitHub API-Endpunkt (CVE-2022-2884, CVSS 9.9, Risiko "kritisch").
Nähere Details nennt GitLab nicht zu der Sicherheitslücke. Auch der Eintrag in der CVE-Datenbank des NIST ist noch verwaist. Immerhin schlagen die Entwickler Maßnahmen vor, die Administratoren ergreifen sollten, sofern sie das Update jetzt noch nicht anwenden können.
Gegenmaßnahme
Um nicht bösartigen Akteuren zum Opfer zu fallen, sollten IT-Verantwortliche zumindest den GitHub-Import deaktivieren. Dazu sollen sie auf "Menu"-"Admin" und dort auf "Settings"-"General" klicken. Nach dem Erweitern des Tab "Visibility and access controls" müssen sie unter den "Import sources" die "GitHub"-Option deaktivieren und schließlich die Änderungen mit "Save changes" bestätigen.
Die GitLab-Entwickler erläutern in ihrer Sicherheitsmeldung zudem, wie Administratoren dann prüfen können, dass der GitHub-Import tatsächlich deaktiviert ist. Die Fehler bügeln die GitLab-Versionen 15.3.1, 15.2.3 sowie 15.1.5 von der Community Edition (CE) sowie Enterprise Edition (EE) aus. Diese lassen sich auf der Update-Seite für GitLab respektive aus den GitLab-Runner-Repositories herunterladen.
Die GitLab-Entwickler empfehlen eindringlich, alle betroffenen Installation so schnell wie möglich auf den aktualisierten Stand zu hieven. Die Hersteller-gehostete Version auf Gitlab.com läuft bereits mit der fehlerbereinigten Version. Vor rund einem Monat erschien die Version 15.2 der Versionsverwaltung GitLab, die vorrangig das Dokumentieren von Vorfällen erleichtert.
(dmk)
