DFN-CERT

Advisory-Archiv

2019-0217: GitLab: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-02-01 17:15)
Neues Advisory

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in GitLab ermöglichen einem zumeist entfernten, einfach authentifizierten Angreifer die Ausführung beliebigen Programmcodes, das Ausspähen von Informationen, verschiedene Cross-Site-Scripting (XSS)-Angriffe, die Darstellung falscher Informationen, einen Denial-of-Service (DoS)-Angriff, das unerwünschte Einfügen von Hyperlinks in Benachrichtigungsemails, die Eskalation von Privilegien und einen Server-Side-Request-Forgery (SSRF)-Angriff. Einige der Schwachstellen können als Gastbenutzer ausgenutzt werden, zur Ausnutzung anderer Schwachstellen sind erweiterte Privilegien erforderlich.

GitLab stellt die Versionen 11.7.3, 11.6.8 und 11.5.10 für die Community Edition (CE) und Enterprise Edition (EE) zur Behebung der Schwachstellen bereit und empfiehlt dringend die zeitnahe Installation der neuen Softwareversion.

Der Hersteller weist darauf hin, dass es zur vollständigen Behebung der Schwachstelle CVE-2019-6788 erforderlich ist, die Zeichenkette '/users/auth/' an die entsprechenden Callbacks (GitHub, BitBucket) anzuhängen und dass mit diesem Sicherheitsupdate Gitv2 deaktiviert wird, bis die in diesem Kontext aufgetretene Schwachstelle behoben ist. Darüber hinaus setzen GitLab 11.7 und 11.6 beginnend mit den neuen Versionen Rails 5.0.7.1 ein und GitLab 11.5 verwendet ab sofort Rails 4.2.11.

Schwachstellen:

CVE-2018-16476

Schwachstelle in Active Job ermöglicht Ausspähen von Informationen

CVE-2019-6781

Schwachstelle in GitLab ermöglicht Einfügen von Hyperlinks

CVE-2019-6782

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2019-6783

Schwachstelle in GitLab ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-6784

Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-6785

Schwachstelle in GitLab ermöglicht Denial-of-Service-Angriff

CVE-2019-6786

Schwachstelle in GitLab ermöglicht Ausspähen von Informaitonen

CVE-2019-6787

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2019-6788

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2019-6789

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2019-6790

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2019-6791

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2019-6792

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2019-6793

Schwachstelle in GitLab ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2019-6794

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2019-6795

Schwachstelle in GitLab ermöglicht Darstellung falscher Informationen

CVE-2019-6796

Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-6797

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2019-6960

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2019-6995

Schwachstelle in GitLab ermöglicht Privilegieneskalation

CVE-2019-6996

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2019-6997

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2019-7155

Schwachstelle in GitLab ermöglicht Privilegieneskalation

CVE-2019-7176

Schwachstelle in GitLab ermöglicht Privilegieneskalation

GITLAB-11-7-3-C

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.