Softwareentwicklung: Erneut kritische SicherheitslĂĽcke in GitLab geschlossen
Angreifer könnten durch Schwachstellen in GitLab etwa trotz Zwei-Faktor-Authentifizierung Passwörter erraten oder Schadcode ausführen.
Entwickler, die Versionen von Softwareprojekten auf Git-Basis mit GitLab verwalten, sollten zeitnah eine der drei aktuellen, gegen verschiedene Attacken abgesicherten Versionen installieren.
Der Großteil der Sicherheitslücken ist mit dem Bedrohungsgrad "mittel" eingestuft. Eine Schwachstelle (CVE-2022-2992) gilt jedoch als "kritisch". Hier könnten einer Warnmeldung zufolge authentifizierte Angreifer zur Ausführung von Schadcode ansetzen. Wie eine Attacke im Detail ablaufen könnte, ist bislang nicht bekannt.
Passwort-Attacken
Zwei Lücken (CVE-2022-2865, CVE-2022-2527) sind mit "hoch" eingestuft. Hier könnten Angreifer für eine XSS-Attacke (stored) ansetzen. Zur zweiten Lücke sind derzeit keine Informationen bekannt.
Setzen Angreifer erfolgreich an den verbleibenden Schwachstellen an, könnten sie beispielsweise Systeme via DoS lahmlegen oder unberechtigt auf Informationen zugreifen. Außerdem ist es vorstellbar, dass Angreifer über Brute-Force-Attacken Passwörter erraten und sich trotz aktivierter Zwei-Faktor-Authentifizierung (2FA) einloggen könnten. Die Entwickler geben an, die folgenden Versionen gegen die geschilderten Attacken abgesichert zu haben:
- GitLab 15.1.6
- GitLab 15.2.4
- GitLab 15.3.2
Erst kĂĽrzlich haben die Entwickler kritische SicherheitslĂĽcken in GitLab geschlossen.
(des)