2018-0543: GitLab: Zwei Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-03-21 12:03)

Neues Advisory

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Eine Schwachstelle ermöglicht einem vermutlich nicht authentisierten Angreifer mit Netzwerkzugriff auf eine GitLab-Instanz die Durchführung eines Server-Side-Request-Forgery (SSRF)-Angriffs, mit Hilfe von manipulierten Web-Anfragen, und dadurch unter anderem das Ausspähen von Informationen, das Umgehen von Sicherheitsvorkehrungen sowie die Ausführung beliebigen Programmcodes. Eine weitere Schwachstelle betrifft nur die GitLab Community Edition (CE) und ermöglicht einem authentisierten Angreifer durch eine Auth0-Anmeldung die Anmeldung eines anderen Benutzers und dadurch möglicherweise dessen Benutzerrechte zu erlangen.

GitLab stellt die Versionen 10.5.6, 10.4.6 und 10.3.9 für die Community Edition (CE) und Enterprise Edition (EE) zur Behebung der Schwachstellen zur Verfügung und empfiehlt allen Nutzern möglichst bald das Update zu installieren. In etwa 30 Tagen veröffentlicht GitLab den zweiten Teil des Advisories in dem ausführlicher über die behobenen Schwachstellen informiert wird.

Schwachstellen:

CVE-2018-8801

Schwachstelle in GitLab ermöglicht u.a. Ausführung beliebigen Programmcodes

GITLAB-10-5-6-B

Schwachstelle in GitLab CE ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.