GitLab, eine popul\u00e4re Versionsverwaltungsplattform, hat k\u00fcrzlich wichtige Updates ver\u00f6ffentlicht. Diese Aktualisierungen beheben Sicherheitsl\u00fccken in den Versionen 17.1.1, 17.0.3 und 16.11.5 und betreffen sowohl die Community Edition (CE) als auch die Enterprise Edition (EE) von GitLab. Die Nutzer des Dienstes auf GitLab.com arbeiten bereits mit der aktualisierten Version.<\/p>\n
Wie \u00fcblich, wenn es um wichtige Sicherheitsl\u00fccken geht, empfiehlt GitLab in den Release Notes dringend, die neueste Version so schnell wie m\u00f6glich zu installieren. Eine der behobenen Sicherheitsl\u00fccken wurde als kritisch eingestuft und erhielt die CVE-Nummer (Common Vulnerabilities and Exposures) CVE-2024-5655. Diese Schwachstelle ist in der Mitre-Datenbank gelistet.<\/p>\n
Leider waren zum Zeitpunkt der Erstellung dieses Artikels die Links zu den ausf\u00fchrlichen Beschreibungen der Sicherheitsl\u00fccke bei Mitre und der National Vulnerability Database (NIST) nicht funktionsf\u00e4hig. Entweder f\u00fchrten sie zu einer Fehlerseite (404) oder zeigten an, dass der Bericht auf HackerOne noch nicht vorhanden ist.<\/p>\n
Die Schwachstelle wird als „Improper Access Control“ (CWE-284) klassifiziert und erm\u00f6glicht es, eine CI-Pipeline unter einem anderen Benutzer auszuf\u00fchren. Obwohl GitLab die Schwachstelle als kritisches Risiko mit einem CVSS-Wert von 9,6 von 10 einstuft, gibt es bisher keine Hinweise darauf, dass sie bereits von Angreifern ausgenutzt wurde.<\/p>\n
Die Ursache der Sicherheitsl\u00fccke l\u00e4sst sich indirekt aus der \u00c4nderung ableiten, die mit dem Patch zusammenh\u00e4ngt: Offensichtlich erfolgte der Zugriff \u00fcber das Re-Targeting im Merge-Prozess, der zuvor automatisch eine CI-Pipeline ausl\u00f6sen konnte. Durch das Patch-Release von GitLab wird beim Re-Targeting von Merge-Requests die CI-Pipeline nicht mehr automatisch gestartet, sondern Benutzer m\u00fcssen sie nun manuell initiieren. Zus\u00e4tzlich deaktiviert der Patch die GraphQL-Authentifizierung \u00fcber CI_JOB_TOKEN.<\/p>\n
Eine weitere Schwachstelle, die als hohes Risiko eingestuft wird (CVSS-Score 8.7), erm\u00f6glicht das Einschleusen von Cross-Site-Scripting (XSS) \u00fcber Commit Notes in ein Projekt (CVE-2024-4901). Eine weitere hochriskante Schwachstelle (CVSS-Wert 8.1, CVE-2024-4994) erm\u00f6glicht es Angreifern, beliebige GraphQL-Mutationen \u00fcber GitLabs GraphQL-API mittels Cross-Site Request Forgery (CSRF) auszuf\u00fchren. Detaillierte Informationen zu diesen Schwachstellen sind jedoch nicht verf\u00fcgbar.<\/p>\n
In den Release Notes zu den Patch-Releases sind ausf\u00fchrliche Beschreibungen zu den genannten Sicherheitsl\u00fccken sowie elf weiteren Schwachstellen zu finden. Es wird dringend empfohlen, ein schnelles Update durchzuf\u00fchren. Allerdings scheinen nicht alle Verantwortlichen f\u00fcr GitLab-Server diesen Hinweis ernst zu nehmen.<\/p>\n
Im Januar wurde eine Studie von IT-Forschern ver\u00f6ffentlicht, in der sie weltweit 5379 erreichbare GitLab-Server mit einer bekannten Schwachstelle identifizierten. Zum Zeitpunkt der Untersuchung war bereits seit zwei Wochen ein Patch verf\u00fcgbar. Die Schwachstelle mit dem Eintrag CVE-2023-7028 aus dem Jahr 2023 erm\u00f6glichte es Angreifern, Mails zum Zur\u00fccksetzen eines Passworts an nicht verifizierte E-Mail-Adressen zu senden und dadurch Konten zu \u00fcbernehmen.<\/p>\n
Schlagw\u00f6rter: GitLab + Merge x + GitLabs GraphQL-API<\/p>\n","protected":false},"excerpt":{"rendered":"
GitLab, eine popul\u00e4re Versionsverwaltungsplattform, hat k\u00fcrzlich wichtige Updates ver\u00f6ffentlicht. Diese Aktualisierungen beheben Sicherheitsl\u00fccken in den Versionen 17.1.1, 17.0.3 und 16.11.5 und betreffen sowohl die Community Edition (CE) als auch die Enterprise Edition (EE) von GitLab. Die Nutzer des Dienstes auf GitLab.com arbeiten bereits mit der aktualisierten Version. Wie \u00fcblich, wenn...<\/p>\n","protected":false},"author":4,"featured_media":9025,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-9026","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/9026","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=9026"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/9026\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/9025"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=9026"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=9026"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=9026"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}