Sicherheitslücken GitLab: Angreifer können Softwareentwicklung manipulieren
GitLab Community Edition und Enterprise Edition sind verwundbar. Die Entwickler raten zu einem zügigen Update.
(Bild: Artur Szczybylo/Shutterstock.com)
In aktuellen GitLab-Versionen haben die Entwickler insgesamt sechs Sicherheitslücken geschlossen. Nach erfolgreichen Attacken können Angreifer unter anderem manipulierend in die Entwicklung von Software eingreifen.
Jetzt patchen!
In einer Warnmeldung listen die GitLab-Entwickler Informationen zu den geschlossenen Schwachstellen auf. Konkret sind GitLab Community Edition und Enterprise Edition bedroht. Am gefährlichsten gilt eine "kritische" Lücke (CVE-2024-6385) über die Angreifer unter bestimmen, nicht näher ausgeführten Umständen Pipeline Jobs im Namen eines anderen Nutzers auslösen können. Über Pipelines automatisieren Entwickler bestimmte Schritte wie Builds und Tests.
Die verbleibenden Sicherheitslücken sind mit "mittel" und "niedrig" eingestuft. An diesen Stellen können Angreifer unter anderem Subdomain-Takeover-Attacken ausführen. GitLab versichert, die Lücken in den Versionen 16.11.6, 17.0.4 und 17.1.2 geschlossen zu haben. Auch wenn in der Warnmeldung keine Rede von laufenden Attacken ist, raten die Entwickler zu einem zügigen Update.
(des)
