2018-1218: GitLab: Mehrere Schwachstellen ermöglichen u.a. einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2018-06-25 16:38)

Neues Advisory

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in der Community und Enterprise Edition von GitLab ermöglichen einem vermutlich entfernten und einfach authentifizierten Angreifer unter anderem das Umgehen von Sicherheitsvorkehrungen, die Eskalation von Privilegien, einen Cross-Site-Scripting (XSS)-Angriff und einen Server-Side-Request-Forgery (SSRF)-Angriff.

GitLab stellt GitLab 11.0.0 als Community Edition (CE) und Enterprise Edition (EE) zur Verfügung. Die aktuelle Version der Software behebt die Schwachstellen und birgt eine Reihe neuer Features und Bugfixes. Weitere Informationen zu den Schwachstellen stehen aktuell noch nicht zur Verfügung.

Schwachstellen:

GITLAB-CE-11-0-0-A

Schwachstelle in GitLab Community Edition ermöglicht Privilegieneskalation

GITLAB-CE-11-0-0-B

Schwachstelle in GitLab Community Edition ermöglicht nicht spezifizierte Angriffe

GITLAB-CE-11-0-0-C

Schwachstelle in GitLab Community Edition ermöglicht Umgehen von Sicherheitsvorkehrungen

GITLAB-EE-11-0-0-A

Schwachstelle in GitLab Enterprise Edition ermöglicht permanenten Cross-Site-Scripting-Angriff

GITLAB-EE-11-0-0-B

Schwachstelle in GitLab Enterprise Edition ermöglicht Server-Side-Request-Forgery-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.