GitLab veröffentlicht kritisches Sicherheits-Update
Eine fehlende Sicherheitsfunktion ermöglicht GitLab-Nutzern, sich als beliebiger anderer User oder Administrator anzumelden. Betroffen sind alle Versionen ab 8.2 der Community- und der Enterprise Edition.
Das GitLab-Team ist bei internen Code-Untersuchungen auf eine Schwachstelle in der sogenannten Impersonate-Funktion der Oberfläche für die Git-Versionsverwaltung gestoßen. Das Feature entspricht der wörtlichen Übersetzung: Der Administrator gibt sich als ein anderer Nutzer aus. Ein Teil der Funktion ist jedoch unzureichend abgesichert, sodass jeder authentifizierte User sich als ein anderer einloggen kann – auch als Administrator.
Der Fehlerbericht spricht von der schlimmsten Schwachstelle seit den Anfängen von GitLab. Der Anbieter hat nun Updates aller betroffenen Versionen der Software veröffentlicht, die Anwender umgehend installieren sollen. Zudem hat das Team einen CVE-Bericht (Common Vulnerabilities and Exposures) unter CVE-2016-4340 eingereicht, der jedoch beim Schreiben dieser Meldung noch nicht ausgefüllt war.
Die aktuelle Software ist auf der Download-Seite verfügbar. Nutzer, die nicht direkt ein Update installieren können, finden bei GitLab einige Optionen, die fehlerhafte Funktion zu deaktivieren. (rme)