ClickCease GitLab-Sicherheitsrelease behebt kritische Sicherheitslücke beim Überschreiben von Dateien

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

GitLab-Sicherheitsrelease behebt kritische Sicherheitslücke beim Überschreiben von Dateien

Rohan Timalsina

12. Februar 2024. TuxCare-Expertenteam

GitLab hat kürzlich wichtige Patches veröffentlicht, um eine kritische Sicherheitslücke zu schließen, die sowohl die Community Edition (CE) als auch die Enterprise Edition (EE) betrifft. Die Schwachstelle, die als CVE-2024-0402 identifiziert wurde, hat einen CVSS-Score von 9,9 von 10 und könnte Angreifern ermöglichen, beliebige Dateien zu schreiben, während sie einen Arbeitsbereich erstellen.

GitLab gab in einem Advisory bekannt, dass die Schwachstelle alle Versionen ab 16.0 vor 16.5.8, 16.6 vor 16.6.6, 16.7 vor 16.7.4 und 16.8 vor 16.8.1 in CE/EE betrifft. Diese Schwachstelle ermöglicht es authentifizierten Benutzern, während der Erstellung von Arbeitsbereichen Dateien an beliebige Speicherorte auf dem GitLab-Server zu schreiben. Das Unternehmen hat außerdem Patches für dieses Problem in die Versionen 16.5.8, 16.6.6, 16.7.4 und 16.8.1 zurückportiert. GitLab 16.5.8 enthält jedoch außer dieser Sicherheitslücke keine weiteren Korrekturen.

 

Andere behobene GitLab-Sicherheitsschwachstellen

 

Neben der Behebung der kritischen Sicherheitslücke wurden in dieser Sicherheitsversion auch vier Schwachstellen mittlerer Schwere in GitLab behoben. Dazu gehören:

CVE-2023-6159 (CVSS-Schweregrad: 6.5 Mittel)

In den Versionen 12.7 bis 16.6.6, 16.7 bis 16.7.4 und 16.8 bis 16.8.1 von GitLab CE/EE wurde eine Sicherheitslücke entdeckt. Angreifer können diese Schwachstelle mit einer in böser Absicht erstellten Eingabe in einer Cargo.toml-Datei ausnutzen, was zu einem Denial of Service mit regulären Ausdrücken führt.

 

CVE-2023-5933 (CVSS-Schweregrad: 6.4 Mittel)

In den Versionen 13.7 bis 16.6.6, 16.7 bis 16.7.4 und 16.8 bis 16.8.1 von GitLab CE/EE wurde eine Sicherheitslücke gefunden. Unsaubere Eingaben von Benutzernamen ermöglichen beliebige API PUT-Anfragen.

CVE-2023-5612 (CVSS-Schweregrad: 5.3 Mittel)

In GitLab wurde in allen Versionen vor 16.6.6, 16.7 vor 16.7.4 und 16.8 vor 16.8.1 eine Sicherheitslücke gefunden. Obwohl die Sichtbarkeit von E-Mails im Benutzerprofil deaktiviert war, war es möglich, über den Tags-Feed auf die E-Mail-Adressen der Benutzer zuzugreifen.

CVE-2024-0456 (CVSS-Schweregrad: 4.3 Mittel)

In den GitLab-Versionen von 14.0 bis 16.6.6, 16.7 bis 16.7.4 und 16.8 bis 16.8.1 wurde eine Schwachstelle in der Autorisierung gefunden. Dies erlaubt unbefugten Angreifern die Zuweisung beliebiger Benutzer zu Merge Requests (MRs), die sie innerhalb des Projekts erstellt haben.

 

Schlussfolgerung

 

Diese neueste Sicherheitsversion von GitLab wurde nur zwei Wochen nach der Behebung von zwei kritischen Sicherheitslücken veröffentlicht, von denen eine ausgenutzt werden konnte, um Konten ohne jegliche Benutzerinteraktion zu übernehmen(CVE-2023-7028, CVSS-Score: 10.0). Um mögliche Risiken zu minimieren, wird den Benutzern dringend empfohlen, ihre GitLab-Installationen so bald wie möglich auf die gepatchten Versionen zu aktualisieren.

 

Die Quellen für diesen Artikel sind eine Geschichte von TheHackerNews und GitLab Releases.

Zusammenfassung
GitLab-Sicherheitsrelease behebt kritische Sicherheitslücke beim Überschreiben von Dateien
Artikel Name
GitLab-Sicherheitsrelease behebt kritische Sicherheitslücke beim Überschreiben von Dateien
Beschreibung
Erfahren Sie mehr über die neueste GitLab-Sicherheitsversion, die mehrere Schwachstellen behebt, darunter eine kritische Schwachstelle, die das Überschreiben von Dateien ermöglicht.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter