DFN-CERT

Advisory-Archiv

2019-0455: GitLab: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-03-05 15:55)
Neues Advisory

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann mehrere Schwachstellen in GitLab ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen und Informationen auszuspähen. Mehrere weitere Schwachstellen ermöglichen einem entfernten, einfach authentifizierten Angreifer ebenfalls das Ausspähen von Informationen, die Eskalation seiner Privilegien, verschiedene Denial-of-Service (DoS)-, Server-Side-Request-Forgery (SSRF)- und Cross-Site-Request-Forgery (CSRF)-Angriffe.

GitLab stellt die Versionen 11.8.1, 11.7.6 und 11.6.10 für die Community Edition (CE) und die Enterprise Edition (EE) als Sicherheitsupdates bereit. Gleichzeitig werden zwei weitere Schwachstellen im Kontext von SAML für GitLab.com behoben, für die keine Schwachstellenbezeichner vergeben werden.

Schwachstellen:

CVE-2019-9170

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2019-9171 CVE-2019-9224

Schwachstellen in GitLab ermöglichen Ausspähen von Informationen

CVE-2019-9172

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2019-9174

Schwachstelle in GitLab ermöglicht Server-Site-Request-Forgery-Angriff

CVE-2019-9175

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2019-9176

Schwachstelle in GitLab ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2019-9178

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2019-9179

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2019-9217

Schwachstelle in GitLab ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-9219 CVE-2019-9225

Schwachstellen in GitLab ermöglichen Ausspähen von Informationen

CVE-2019-9220

Schwachstelle in GitLab ermöglicht Denial-of-Service-Angriff

CVE-2019-9221

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2019-9222

Schwachstelle in GitLab ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-9223

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2019-9485

Schwachstelle in GitLab ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.