GitLab und PostgreSQL, zwei Namen, die normalerweise für Zuverlässigkeit und Sicherheit stehen. Aber anscheinend haben sie in diesem Fall einen kleinen Sicherheitswackler hingelegt. Und das ist, als würde man den Hulk mit einem Tütchen Popcorn in einen Kinosaal setzen – nichts Gutes kann dabei herauskommen.
Die Geschichte beginnt am 8. Februar, als PostgreSQL vor einer Sicherheitslücke warnte, bei der Angreifer beliebigen SQL-Code an Nutzerinnen und Nutzer mit höheren Rechten weitergeben können. Bereits zu diesem Zeitpunkt hätte GitLab die Alarmglocken läuten hören sollen, denn sie verwenden die betroffene PostgreSQL-Version 13.13.
Aber anstatt schnellstmöglich ein Update einzuspielen, entschied sich GitLab, erstmal gemütlich auf Version 13.13 umzusteigen. Obwohl Version 13.14 schon seit September 2020 verfügbar war. Tja, manchmal ist man eben so verliebt in seine alte Version, dass man sich nicht von ihr trennen möchte. Aber ich kann mir vorstellen, dass sich GitLab-Nutzerinnen und -Nutzer jetzt fragen, ob die Liebe zu ihrer Datenbank nicht etwas einseitig war.
Als ob das nicht schon genug wäre, taucht dann auch noch eine kritische Sicherheitslücke in PostgreSQL auf, die seit dem 12. Februar 2024 bekannt ist. Durch diese Lücke können Angreifer Code mit erhöhten Berechtigungen ausführen – sozusagen der Traum eines jeden Hackers. Und was macht GitLab? Kein Update in Sicht. Null Reaktion. Als ob sie denken würden: “Ach, was kann schon schiefgehen?”
Nun, liebe GitLab-Nutzerinnen und -Nutzer, ich kann eure Sorgen verstehen. Wenn euer Flohschutz den Flöhen das Tor öffnet, dann könnt ihr schon mal mit ein paar Juckreiz-Problemen rechnen. Aber wie groß das Risiko wirklich ist und wie unmittelbar betroffen ihr seid, das bleibt vorerst ein Rätsel. Denn GitLab hat sich bisher geweigert, auf Anfragen zu antworten. Vielleicht haben sie ja gedacht, dass das Ignorieren von Problemen diese einfach verschwinden lässt. Wenn das funktioniert, dann sollte ich das auch bei meinen Steuererklärungen versuchen.
Auf jeden Fall ist eines klar: Das System von GitLab ist im Sinne von Zero Trust nun allgemein gefährdet. Aber keine Panik, liebe GitLab-Nutzerinnen und -Nutzer. Wir bleiben dran und informieren euch über alle Entwicklungen. In der Zwischenzeit könnt ihr ja ein bisschen Popcorn knabbern und den Hulk beobachten. Vielleicht bringt er ja eine Lösung mit seiner grünen Faust.
Schlagwörter: GitLab + PostgresSQL + Zero Trust
Wie bewerten Sie den Schreibstil des Artikels?