DFN-CERT

Advisory-Archiv

2017-1263: GitLab: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen und die Manipulation von Dateien

Historie:

Version 1 (2017-07-21 16:21)
Neues Advisory

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Zwei Schwachstellen in GitLab ermöglichen einem entfernten, einfach authentisierten Angreifer das Ausspähen von Informationen und die Manipulation von Dateien über die Erzeugung von Project Mirrors und darüber hinaus die Eskalation von Privilegien mit den gleichen Auswirkungen. Weitere Schwachstellen ermöglichen unter anderem Denial-of-Service (DoS)-Angriffe und die Ausführung beliebigen Programmcodes auf Microsoft-basierten Client-Systemen. Zwei Schwachstellen können von einem entfernten, nicht authentisierten Angreifer ausgenutzt werden, um private oder vertraulichen Informationen auszuspähen.

Der Hersteller hat GitLab 9.3.8, 9.2.8, 9.1.8, 9.0.11 und 8.17.7 in der Community Edition (CE) und der Enterprise Edition (EE) als Sicherheitsupdate veröffentlicht, um diese Schwachstellen zu beheben. Außerdem sind wichtige Sicherheitsupdates für Mattermost in diesem Update enthalten (siehe unter 'Other fixes in 9.3.8, 9.2.8, 9.1.8, 9.0.11, and 8.17.7' in der angehängten Referenz). Die Schwachstelle CVE-2017-11437 und das Problem im Kontext von Microsoft Excel (GitLab Issue 30250) betreffen nur die Enterprise Edition der Software.

Nur einen Tag nach der Veröffentlichung der oben genannten Softwareversionen stellt der Hersteller die GitLab Versionen 9.3.9, 9.2.9, 9.1.9 und 9.0.12 wiederum in der Community Edition (CE) und der Enterprise Edition (EE) zur Verfügung, um eine Denial-of-Service-Schwachstelle in der 'mudge/re2 '-Bibliothek zu korrigieren.

Der Hersteller empfiehlt dringend alle betroffenen GitLab Installationen umgehend auf eine der neuen Versionen zu aktualisieren.

Schwachstellen:

CVE-2017-11437

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen und Manipulation von Dateien

CVE-2017-11438

Schwachstelle in GitLab ermöglicht Privilegieneskalation

GITLAB-ISSUE-24570

Schwachstelle in GitLab ermöglicht Denial-of-Service-Angriff

GITLAB-ISSUE-30250

Schwachstelle in GitLab ermöglicht Ausführung beliebigen Programmcodes

GITLAB-ISSUE-33303

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

GITLAB-ISSUE-33359

Schwachstelle in GitLab ermöglicht Manipulation von Daten

GITLAB-ISSUE-33679

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

RE2-GH-ISSUE-32

Schwachstelle in re2 ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.