Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
Alert!

Diesmal bitte patchen: Security-Update behebt kritische Schwachstelle in GitLab

GitLab 16.x enthält fünf Schwachstellen, von denen eine als kritisch eingestuft ist. Patchen ist nicht selbstverständlich, wie jüngst eine Untersuchung zeigte.

In Pocket speichern vorlesen Druckansicht 5 Kommentare lesen
Rotes Warndreieck schwebt im Raum

(Bild: JLStock/Shutterstock.com)

Lesezeit: 3 Min.
Developer
Von

Die Betreiber der Versionsverwaltung GitLab haben Security-Patches fĂĽr die Versionen 16.5 bis 16.8 herausgegeben. Die Updates schlieĂźen eine kritische SicherheitslĂĽcke, die das beliebige Schreiben von Dateien beim Anlegen von Workspaces erlaubt. Daneben flickt sie vier weitere LĂĽcken. Betroffen sind sowohl die GitLab Community Edition (CE) als auch die Enterprise Edition (EE).

Wie bei kritischen Schwachstellen üblich, enthalten die Release Notes die dringende Empfehlung, die aktuellste Version möglichst bald zu installieren. Selbstverständlich ist das offenbar nicht: Gerade erst haben IT-Forscher viele GitLab-Server im Netz gefunden, die eine ältere kritische Schwachstelle enthalten, für die bereits seit zwei Wochen ein Patch existiert.

Erweiterte Schreibrechte beim Erstellen von Workspaces

Die jüngste Sicherheitslücke trägt in der Mitre-Datenbank den CVE-Eintrag (Common Vulnerabilities and Exposures) CVE-2024-0402, der beim Schreiben dieser Meldung lediglich als reserviert gekennzeichnet und ohne Beschreibung war. GitLab stuft die Schwachstelle als kritisch ein und gibt ihr den CVSS-Score 9,9/10.

Laut den Release Notes von GitLab erlaubt die Lücke authentifizierten Usern beim Anlegen von Workspaces, Dateien an beliebigen Orten auf dem GitLab-Server zu schreiben. Betroffen ist die vollständige 16-er-Reihe von GitLab. Für die Minor Releases 16.5 bis 16.8 sind nun die Patch-Releases 16.8.1, 16.7.4, 16.6.6 und 16.5.8 verfügbar. Die aktuelle GitLab-Version ist 16.8.

Neben der kritischen Schwachstelle schließen die Bugfix-Releases vier weitere Lücken, die nicht als kritisch, sondern mittelschwer eingestuft sind. Unter anderem können unautorisierte Angreifer beliebige User für erstellte Merge Requests zuweisen, die sie im Projekt angelegt haben. Die Details finden sich in den Release Notes.

Patchen nicht für alle GitLab-Admins selbstverständlich

Den Hinweis, möglichst schnell die Updates einzuspielen, nehmen offenbar nicht alle ernst, die für GitLab-Server verantwortlich sind. Das jüngste Patch-Release kommt kurz nach einer Veröffentlichung von IT-Forschern, die weltweit 5379 im Netz erreichbare GitLab-Server mit einer Schwachstelle gefunden haben, für die zum Zeitpunkt der Untersuchung bereits seit zwei Wochen ein Patch verfügbar war.

Die LĂĽcke mit dem Eintrag CVE-2023-7028 erlaubt es Angreifern, sich Mails zum RĂĽcksetzen eines Passworts an nicht verifizierte E-Mail-Adressen schicken zu lassen und so beliebige Konten zu ĂĽbernehmen. Deutschland war bei der Zahl der ungepatchten GitLab-Server unrĂĽhmlich auf Platz 2 gelandet und lag mit 730 Systemen hinter den USA (964) und knapp vor Russland (721).

(rme)

Beliebte Bestenlisten

Spiele

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten