GitLab veröffentlicht wichtige Updates zur Behebung von Sicherheitslücken – Schnelles Update dringend empfohlen
GitLab, eine populäre Versionsverwaltungsplattform, hat kürzlich wichtige Updates veröffentlicht. Diese Aktualisierungen beheben Sicherheitslücken in den Versionen 17.1.1, 17.0.3 und 16.11.5 und betreffen sowohl die Community Edition (CE) als auch die Enterprise Edition (EE) von GitLab. Die Nutzer des Dienstes auf GitLab.com arbeiten bereits mit der aktualisierten Version.
Wie üblich, wenn es um wichtige Sicherheitslücken geht, empfiehlt GitLab in den Release Notes dringend, die neueste Version so schnell wie möglich zu installieren. Eine der behobenen Sicherheitslücken wurde als kritisch eingestuft und erhielt die CVE-Nummer (Common Vulnerabilities and Exposures) CVE-2024-5655. Diese Schwachstelle ist in der Mitre-Datenbank gelistet.
Leider waren zum Zeitpunkt der Erstellung dieses Artikels die Links zu den ausführlichen Beschreibungen der Sicherheitslücke bei Mitre und der National Vulnerability Database (NIST) nicht funktionsfähig. Entweder führten sie zu einer Fehlerseite (404) oder zeigten an, dass der Bericht auf HackerOne noch nicht vorhanden ist.
Die Schwachstelle wird als „Improper Access Control“ (CWE-284) klassifiziert und ermöglicht es, eine CI-Pipeline unter einem anderen Benutzer auszuführen. Obwohl GitLab die Schwachstelle als kritisches Risiko mit einem CVSS-Wert von 9,6 von 10 einstuft, gibt es bisher keine Hinweise darauf, dass sie bereits von Angreifern ausgenutzt wurde.
Die Ursache der Sicherheitslücke lässt sich indirekt aus der Änderung ableiten, die mit dem Patch zusammenhängt: Offensichtlich erfolgte der Zugriff über das Re-Targeting im Merge-Prozess, der zuvor automatisch eine CI-Pipeline auslösen konnte. Durch das Patch-Release von GitLab wird beim Re-Targeting von Merge-Requests die CI-Pipeline nicht mehr automatisch gestartet, sondern Benutzer müssen sie nun manuell initiieren. Zusätzlich deaktiviert der Patch die GraphQL-Authentifizierung über CI_JOB_TOKEN.
Eine weitere Schwachstelle, die als hohes Risiko eingestuft wird (CVSS-Score 8.7), ermöglicht das Einschleusen von Cross-Site-Scripting (XSS) über Commit Notes in ein Projekt (CVE-2024-4901). Eine weitere hochriskante Schwachstelle (CVSS-Wert 8.1, CVE-2024-4994) ermöglicht es Angreifern, beliebige GraphQL-Mutationen über GitLabs GraphQL-API mittels Cross-Site Request Forgery (CSRF) auszuführen. Detaillierte Informationen zu diesen Schwachstellen sind jedoch nicht verfügbar.
In den Release Notes zu den Patch-Releases sind ausführliche Beschreibungen zu den genannten Sicherheitslücken sowie elf weiteren Schwachstellen zu finden. Es wird dringend empfohlen, ein schnelles Update durchzuführen. Allerdings scheinen nicht alle Verantwortlichen für GitLab-Server diesen Hinweis ernst zu nehmen.
Im Januar wurde eine Studie von IT-Forschern veröffentlicht, in der sie weltweit 5379 erreichbare GitLab-Server mit einer bekannten Schwachstelle identifizierten. Zum Zeitpunkt der Untersuchung war bereits seit zwei Wochen ein Patch verfügbar. Die Schwachstelle mit dem Eintrag CVE-2023-7028 aus dem Jahr 2023 ermöglichte es Angreifern, Mails zum Zurücksetzen eines Passworts an nicht verifizierte E-Mail-Adressen zu senden und dadurch Konten zu übernehmen.
Schlagwörter: GitLab + Merge x + GitLabs GraphQL-API
Wie bewerten Sie den Schreibstil des Artikels?