2019-1888: GitLab: Mehrere Schwachstellen ermöglichen u. a. verschiedene Denial-of-Service-Angriffe

Historie:

Version 1 (2019-09-11 15:08)

Neues Advisory

Version 2 (2019-09-20 13:00)

Mit der Veröffentlichung der GitLab Version 12.1.9 wurde eine kritische Regression eingeführt, daher stehen jetzt die GitLab Community Edition und Enterprise Edition in Version 12.1.11 zur Verfügung, um diese Regression zu beheben.

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Aufgrund mehrerer Schwachstellen in dem von GitLab verwendeten HTTP/2-Server ist es einem entfernten, nicht authentisierten Angreifer möglich verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein entfernter, einfach authentisierter Angreifer unter Ausnutzung einer Schwachstelle in GitLab Informationen ausspähen.

GitLab stellt die Versionen 12.2.5, 12.1.9, und 12.0.9 für die Community Edition (CE) und die Enterprise Edition (EE) als Sicherheitsupdates bereit. Außerdem wurde Mattermost auf die aktuelle Version aktualisiert, womit weitere Schwachstellen behoben werden, die noch nicht veröffentlicht worden sind.

Schwachstellen:

CVE-2019-16170

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2019-9511

Schwachstelle in HTTP/2-Server ermöglicht Denial-of-Service-Angriff

CVE-2019-9513

Schwachstelle in HTTP/2-Server ermöglicht Denial-of-Service-Angriff

CVE-2019-9516

Schwachstelle in HTTP/2-Server ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.