Kritische Sicherheitslücke mit Höchstwertung bedroht GitLab
Es gibt eine wichtiges Sicherheitsupdate für die Versionsverwaltung GitLab. Entwickler sollten jetzt reagieren.
Entwickler, die bei der Softwareerstellung die Versionsverwaltung GitLab einsetzen, sollten die Software zeitnah auf den aktuellen Stand bringen. Andernfalls könnten Angreifer unbefugt auf Daten zugreifen.
In einer Warnmeldung raten die GitLab-Entwickler das Sicherheitsupdate so schnell wie möglich zu installieren. Ob bereits Attacken laufen, ist derzeit nicht bekannt. Die Sicherheitslücke mit maximaler CVSS-Einstufung 10 von 10 (CVE-2023-2825 "kritisch") soll ausschließlich die Version 16.0.0 von GitLab Community Edition (CE) und Enterprise Edition (EE) betreffen. Jüngere Ausgaben sollen davon nicht betroffen sein.
Datenleak-Lücke
Die Voraussetzung für Attacken ist, dass ein Anhang in einem öffentlichen Projekt vorhanden ist, der in mindestens fünf Gruppen verschachtelt ist. In einem solchen Fall soll ein Angreifer ohne Authentifizierung an der Path-Traversal-Schwachstelle ansetzen können. Wie eine Attacke konkret ablaufen könnte, ist derzeit nicht bekannt. Bei erfolgreichen Angriffen können unter anderem Softwarecode und Zugangsdaten leaken.
Die Entwickler geben an, das Sicherheitsproblem in der Version 16.0.1 gelöst zu haben.
(des)