2018-0965: GitLab: Zwei Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2018-05-22 13:13)

Neues Advisory

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Linux

Beschreibung:

Eine Schwachstelle in GitLab kann ein authentisierter Angreifer mit Netzwerkzugriff auf eine GitLab-Instanz ausnutzen, um Sicherheitsvorkehrungen zu umgehen und in der Folge die Rechte eines anderen Benutzers zu erlangen. Dies ist nur möglich, wenn die Auth0-Authentifizierungsmethode konfiguriert ist. Eine weitere Schwachstelle ermöglicht ebenfalls einem entfernten und einfach authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen und anschließende Ausspähen von Informationen.

Debian stellt für die stabile Distribution Stretch ein Backport-Sicherheitsupdate zur Behebung der Schwachstellen bereit. Für die Behebung der Schwachstelle CVE-2018-8971 ist allerdings auch ein Updgrade des 'ruby-omniauth-auth0'-Paketes auf Version 2.0.0-0+deb9u1 erforderlich.

Schwachstellen:

CVE-2017-0920

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2018-8971

Schwachstelle in GitLab CE ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.