2018-1222: GitLab: Mehrere Schwachstellen ermöglichen u.a. verschiedene Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2018-06-26 16:25)

Neues Advisory

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten, einfach authentifizierten Angreifer die Ausführung von verschiedenen zum Teil permanenten Cross-Site-Scripting (XSS)-Angriffen. Eine Schwachstelle im RubyGem Sanitize ermöglicht dem Angreifer das Umgehen von Sicherheitsvorkehrungen. Eine weitere Schwachstelle in GitLab ermöglicht einem entfernten, nicht authentisierten Angreifer das Ausspähen sensibler Informationen von internen Projekten.

GitLab stellt die offiziellen Versionen 11.0.1, 10.8.5 und 10.7.6 als Community Edition (CE) und Enterprise Edition (EE) zur Behebung der Schwachstellen zur Verfügung und empfiehlt allen Nutzern, das Update sobald möglich zeitnah durchzuführen. Weitere Details zu den Schwachstellen werden binnen Monatsfrist veröffentlicht. Mit den Sicherheitsupdates wird die Komponente RubyGem Sanitize auf Version 4.6.4 aktualisiert.

Schwachstellen:

CVE-2018-12605

Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-12606

Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-12607

Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-3740

Schwachstelle in RubyGem Sanitize ermöglicht Umgehen von Sicherheitsvorkehrungen

GITLAB-11-0-1-A

Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-Angriff

GITLAB-11-0-1-B

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.