Hochriskante SicherheitslĂĽcke in PostgreSQL: Gitlab patcht (noch) nicht
Eine bekannte Lücke ermöglicht es einfachen Nutzern, in PostgreSQL Befehle einzuschleusen. Ein Update gäbe es. GitLab installiert es bislang nicht.
(Bild: LuckyStep/Shutterstock.com)
Obwohl seit dem 18. November ein größeres PostgreSQL-Sicherheitsproblem bekannt ist, spielt GitLab die entsprechenden Patches nicht ein. Eine der Lücken erlaubt es unprivilegierten Angreifern, willkürlich Code in der Datenbank auszuführen.
Postgres stuft dieses Sicherheitsloch CVE-2024-10979 mit 8,8 von 10 auf der CVSS-3.0-Skala ein. User ohne Administratorrechte können Systemvariablen ändern, beispielsweise PATH, und darüber beliebigen Code ausführen.
Postgres hat die Lücken bereits mit einem Update gefixt und empfiehlt, die Versionen 12.21, 13.17, 14.14, 15.9, 16.5 und 17.1 sofort einzuspielen. Wie bereits im März wiesen Leser uns darauf hin, dass GitLab nach wie vor an den alten, gefährdeten Versionen 14.11 und 16.4 festhält und die Updates verzögert.
Heute erreichte uns eine Stellungnahme von GitLab: "GitLab ist von dieser Sicherheitslücke nicht direkt betroffen. CVE-2024-10979 befindet sich nicht in PostgreSQL selbst, sondern in PL/Perl, einer optionalen Erweiterung zur Ausführung von Perl-Code direkt in der Datenbank. GitLab führt keinen Perl-Code in PostgreSQL aus und wir installieren (laden) die anfällige Erweiterung nicht, was bedeutet, dass die Benutzer nicht für diesen Exploit anfällig sind und daher kein Patch erforderlich ist."
(who)
