DFN-CERT

Advisory-Archiv

2018-2194: GitLab: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-10-29 19:15)
Neues Advisory

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Eine Schwachstelle in GitLab ermöglicht einem entfernten, vermutlich einfach authentisierten Angreifer die Ausführung beliebigen Programmcodes. Mehrere weitere Schwachstellen ermöglichen einem entfernten, zumeist einfach authentisierten Angreifer das Ausspähen von Informationen. Weitere Schwachstellen ermöglichen dem Angreifer die Manipulation von Dateien, verschiedene Cross-Site-Scripting (XSS)-Angriffe, das Umgehen von Sicherheitsvorkehrungen sowie einen 'Server-Side-Request-Forgery' (SSRF)-Angriff.

Mehrere Schwachstellen in Redis, welches von GitLab genutzt wird, ermöglichen einem entfernten, einfach authentisierten Angreifer die Ausführung von verschiedenen Denial-of-Service (DoS)-Angriffen.

Zwei Schwachstellen in Ruby, welches von GitLab über Ruby on Rails genutzt wird, ermöglichen einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen sowie die Darstellung falscher Informationen.

GitLab stellt die Versionen 11.2.7, 11.3.8 und 11.4.3 für die Community Edition (CE) und die Enterprise Edition (EE) bereit. Weitere Informationen zu den Schwachstellen werden laut Hersteller in etwa 30 Tagen veröffentlicht. Die neuen Versionen der Software nutzen jetzt Ruby 2.4.5 und Redis 3.2.12.

Schwachstellen:

CVE-2018-11218

Schwachstelle in Redis ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-11219

Schwachstelle in Redis ermöglicht Denial-of-Service-Angriff

CVE-2018-12326

Schwachstelle in Redis ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-16395

Schwachstelle in Ruby ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-16396

Schwachstelle in Ruby ermöglicht Darstellung falscher Informationen

CVE-2018-18640

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2018-18641

Schwachstelle in GitLab ermöglicht Ausspähen von Zugriffs-Token

CVE-2018-18642

Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-18643

Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-18644

Schwachstelle in GitLab ermöglicht u. a. Ausspähen von Informationen

CVE-2018-18645

Schwachstelle in GitLab ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-18646

Schwachstelle in GitLab ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2018-18647

Schwachstelle in GitLab ermöglicht Manipulation von Dateien

CVE-2018-18648

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2018-18649

Schwachstelle in GitLab ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.