2017-1995: GitLab: Mehrere Schwachstellen ermöglichen das Ausspähen von Informationen

Historie:

Version 1 (2017-11-10 15:39)

Neues Advisory

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in GitLab ermöglichen einem entfernten, nicht oder einfach authentisierten Angreifer das Ausspähen von Informationen und die Ausführung von Denial-of-Service (DoS) Angriffen.

Der Hersteller stellt GitLab 10.0.2, 10.0.6 und 9.5.10 als Sicherheitsupdates für die Community Edition (CE) und die Enterprise Edition (EE) zur Verfügung. Mit den Sicherheitsupdates wird auch ein Programmfehler für Pivotal-Benutzer behoben, die diese Sicherheitsupdates sonst nicht einspielen könnten. Darüber hinaus wird in Omnibus GitLab die veraltete Version cURL 7.53.0 durch eine aktuelle Version ersetzt, wodurch weitere Schwachstellen behoben werden.

Schwachstellen:

GITLAB-CE-ISSUE-33310

Schwachstelle in GitLab ermöglicht Server-Side-Request-Forgery-Angriff

GITLAB-CE-ISSUE-36099

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

GITLAB-EE-ISSUE-3787

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

GITLAB-EE-ISSUE-3899

Schwachstelle in GitLab ermöglicht Klonen beliebiger Repositories

OMNIBUS-GITLAB-ISSUE-2905

Schwachstellen in Omnibus GitLab ermöglichen u.a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.