2017-1846: GitLab: Mehrere Schwachstellen ermöglichen u.a. Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2017-10-19 17:08)

Neues Advisory

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Zwei Schwachstellen in GitLab ermöglichen einem entfernten, einfach authentisierten Angreifer die Durchführung von Cross-Site-Scripting-Angriffen. Eine weitere Schwachstelle ermöglicht dem Angreifer möglicherweise den Zugriff auf Repositories anderer Benutzer. Zwei zusätzliche Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen und die Darstellung falscher Informationen.

Der Hersteller stellt GitLab 9.4.7, 9.5.9 und 10.0.4 als Sicherheitsupdates für die Community Edition und die Enterprise Edition zur Verfügung. Die Community Edition ist von der Schwachstelle mit dem internen Bezeichner #3435 (Ausspähen von Informationen) nicht betroffen.

Die mit GitLab ausgelieferte Version von Ruby wird auf Version 2.3.5 aktualisiert, um eine weitere Schwachstelle zu beheben (Referenz anbei). Zusätzlich werden mit diesem Update mehrere nicht genauer spezifizierte Schwachstellen in LibXML2 durch die aktuelle Version 2.9.6 behoben.

Schwachstellen:

CVE-2015-9096

Schwachstelle in Ruby ermöglicht Injektion beliebiger SMTP-Befehle

GITLAB-ISSUE-3435

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

GITLAB-ISSUE-37715

Schwachstelle in GitLab ermöglicht Darstellung falscher Informationen

GITLAB-ISSUE-38126

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

GITLAB-ISSUE-38267

Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-Angriff

GITLAB-ISSUE-38272

Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.