2018-1413: GitLab: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-07-18 16:22)

Neues Advisory

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein vermutlich entfernter, nicht authentisierter Angreifer kann beliebigen Programmcode zur Ausführung bringen und dadurch möglicherweise betroffene Systeme komplett kompromittieren.

GitLab bestätigt die Schwachstelle und stellt die Versionen 11.0.4, 10.8.6 und 10.7.7 in der Community Edition (CE) und Enterprise Edition (EE) zur Behebung der Schwachstelle zur Verfügung. Der Hersteller empfiehlt die umgehende Installation einer dieser Versionen.

Die Schwachstelle wird von GitLab mit 'important' eingestuft, was ein Hinweis darauf sein könnte, dass die Schwachstelle nur unter gewissen Umständen und/oder von Angreifer mit erhöhten Privilegien ausgenutzt werden kann. Auch die betroffene Komponente 'Projects Import' deutet auf zur Ausnutzung notwendige Privilegien hin. Informationen hierzu liegen allerdings bislang nicht vor. Der Hersteller kündigt an, dass in etwa 30 Tagen in einer zweiten Veröffentlichung ausführlicher über die behobene Schwachstelle informiert wird.

Die Schwachstelle existiert in GitLab seit Version 8.9.0. Für die Versionszweige 8.9 und 9.5 gibt es keine Sicherheitsupdates mehr, weshalb Benutzern empfohlen wird, auf einen unterstützen Versionszweig zu migrieren.

Schwachstellen:

CVE-2018-14364

Schwachstelle in GitLab ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.