Sicherheitspatch: Gitlab behebt Lücken in Serverversionen
Angreifer konnten Code einschleusen, fremde Konten übernehmen und den Server außer Gefecht setzen. Admins selbst gehosteter Instanzen sollten patchen.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Mit einem Sicherheitsupdate behebt GitLab mehr als fünfzehn Sicherheitslücken in der Community Edition (CE) und Enterprise Edition (EE) seines Entwicklungsservers. Eine kritische und mehrere Lücken vom Schweregrad "hoch" machen die Aktualisierung zur Pflichtaufgabe – außer, man ist Cloud-Kunde oder lässt die eigene Instanz durch GitLab administrieren.
In einer Sammelmeldung wickelt GitLab mehr als ein Dutzend Hinweise ab, davon ist eine Lücke (CVE-2024-6678, CVSS 9,9) kritisch. Angreifer konnten unter bestimmten Umständen Pipelines als beliebiger Nutzer ausführen und somit auch die Deployment-Umgebungen anhalten. Dafür mussten sie jedoch über ein Nutzerkonto auf der angegriffenen GitLab-Instanz verfügen.
Unter den Lücken mit hoher Priorität ist eine Codeschmuggel-Lücke über unzureichend gefiltertes YAML (CVE-2024-8640, CVSS 8,5) und eine Denial-of-Service-Möglichkeit mittels eines übergroßen von außen eingeschleusten Parameters (CVE-2024-8124, CVSS 7,5). Auch Sicherheitsfehler mittlerer und niedriger Priorität sind behoben – siehe untenstehende Tabelle.
Mit Details zu den Sicherheitslücken hält sich GitLab wie üblich zurück: Es gibt nur eine kurze Beschreibung des Problems und einige Metadaten in dem Sicherheitshinweis, weitere Einzelheiten veröffentlicht der Hersteller erst in einem Monat.
| Engl. Beschreibung | CVE-ID | CVSS | Schweregrad | Versionen |
| Execute environment stop actions as the owner of the stop action job | CVE-2024-6678 |
9,9 |
kritisch | 8.14 - 17.1.6, 17.2 < 17.2.3, 17.3 < 17.3.2 |
| Prevent code injection in Product Analytics funnels YAML | CVE-2024-8640 | 8,5 | hoch | 16.11 - 17.1.6, 17.2 < 17.2.5, 17.3 < 17.3.2 |
|
SSRF via Dependency Proxy |
CVE-2024-8635 | 7,7 | hoch | 16.8 - 17.1.6, 17.2 < 17.2.5, 17.3 < 17.3.2 |
|
Denial of Service via sending a large glm_source parameter |
CVE-2024-8124 | 7,5 | hoch | 16.4 - 17.1.6, 17.2 < 17.2.5, 17.3 < 17.3.2 |
|
CI_JOB_TOKEN can be used to obtain GitLab session token |
CVE-2024-8641 | 6,7 | mittel | 13.7 - 17.1.6, 17.2 < 17.2.5, 17.3 < 17.3.2 |
|
Variables from settings are not overwritten by PEP if a template is included |
CVE-2024-8311 | 6,5 | mittel | 17.2 < 17.2.5, 17.3 < 17.3.2 |
|
Guests can disclose the full source code of projects using custom group-level templates |
CVE-2024-4660 | 6,5 | mittel | 11.2 - 17.1.6, 17.2 < 17.2.5, 17.3 < 17.3.2 |
|
IdentitiesController allows linking of arbitrary unclaimed provider identities |
n.v. | 6,4 | mittel | 16.9.7 - 17.1.6, 17.2 < 17.2.5, 17.3 < 17.3.2 |
|
Open redirect in repo/tree/:id endpoint can lead to account takeover through broken OAuth flow |
CVE-2024-4283 | 6,4 | mittel | 11.1 - 17.1.6, 17.2 < 17.2.5, 17.3 < 17.3.2 |
|
Open redirect in release permanent links can lead to account takeover through broken OAuth flow |
CVE-2024-4612 | 6,4 | mittel | 12.9 - 17.1.6, 17.2 < 17.2.5, 17.3 < 17.3.2 |
| Guest user with Admin group member permission can edit custom role to gain other permissions | CVE-2024-8631 | 5,5 | mittel | 16.6 - 17.1.6, 17.2 < 17.2.5, 17.3 < 17.3.2 |
|
Exposure of protected and masked CI/CD variables by abusing on-demand DAST |
CVE-2024-2763 | 5,3 | mittel | 13.3 - 17.1.6, 17.2 < 17.2.5, 17.3 < 17.3.2 |
|
Credentials disclosed when repository mirroring fails |
CVE-2024-5435 | 4,5 | mittel | 15.10 - 17.1.6, 17.2 < 17.2.5, 17.3 < 17.3.2 |
|
Commit information visible through release atom endpoint for guest users |
CVE-2024-6389 | 4,0 | mittel | 16.5 - 17.1.6, 17.2 < 17.2.5, 17.3 < 17.3.2 |
|
User Application can spoof the redirect url |
CVE-2024-6446 | 3,5 | niedrig | 17.1 < 17.1.7, 17.2 < 17.2.5, 17.3 < 17.3.2 |
|
Group Developers can view group runners information |
CVE-2024-6685 | 3,1 | niedrig | 16.7 - 17.1.6, 17.2 < 17.2.5, 17.3 < 17.3.2 |
Selbst gehostete Instanzen aktualisieren!
Drei aktuelle Versionen beheben die Sicherheitslücken, nämlich 17.3.2, 17.2.5 und 17.1.7 für die jeweiligen Versionsbäume von GitLab CE und EE. Administratoren der selbst gehosteten Serverversionen sollten sich zügig um die Aktualisierung bemühen. Wer seine Softwareprojekte in der GitLab-eigenen Cloud gespeichert hat (mittels der SaaS-Angebote "gitlab.com" oder "GitLab Dedicated"), muss sich um nichts kümmern – diese Versionen sind bereits repariert.
GitLab behebt regelmäßig kritische Sicherheitsprobleme in seiner Software, so etwa im Juni und Juli dieses Jahres. Bösewichter nutzen derlei Lücken häufig für Angriffe aus, wie die CISA im Mai festgestellt hat.
(cku)
