2019-2612: GitLab: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-12-11 17:15)

Neues Advisory

Version 2 (2019-12-17 09:55)

GitLab stellt GitLab 12.2.12, 12.1.17 und 12.0.12 für die Community Edition (CE) und die Enterprise Edition (EE) als Sicherheitsupdates bereit. Mit den Updates wird Git auf Version 2.22.2 aktualisiert und die entsprechenden Schwachstellen werden adressiert. Die Schwachstellen CVE-2019-19628 und CVE-2019-19629 in GitLab Enterprise werden in den Veröffentlichungshinweisen nicht erwähnt.

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Zwei Schwachstellen in GitLab Enterprise Edition ermöglichen einem entfernten, einfach authentifizierten Angreifer u. a. die Ausführung beliebigen Programmcodes und das Ausspähen von Informationen. Mehrere Schwachstellen in Git betreffen alle aktuellen Versionen von GitLab und ermöglichen dem Angreifer die Ausführung beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen und die Manipulation von Dateien. Wenn externe Repositories verarbeitet werden, können diese Schwachstellen auch ohne Authentifizierung ausgenutzt werden.

GitLab informiert über die Schwachstellen und stellt GitLab 12.5.4, 12.4.6 und 12.3.9 für die Community Edition (CE) und die Enterprise Edition (EE) als Sicherheitsupdates bereit. Mit den Updates wird Git auf Version 2.22.2 aktualisiert und die entsprechenden Schwachstellen werden behoben. Diese Schwachstellen werden im Sicherheitshinweis von GitLab nicht einzeln aufgeführt.

Schwachstellen:

CVE-2019-1348

Schwachstelle in Git ermöglicht Manipulation von Dateien

CVE-2019-1349

Schwachstelle in Git ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-1350

Schwachstelle in Git ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-1351

Schwachstelle in Git ermöglicht Manipulation von Dateien

CVE-2019-1352

Schwachstelle in Git ermöglicht Manipulation von Dateien

CVE-2019-1353

Schwachstelle in Git ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-1354

Schwachstelle in Git ermöglicht Manipulation von Dateien

CVE-2019-1387

Schwachstelle in Git ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-19604

Schwachstelle in Git ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-19628

Schwachstelle in GitLab Enterprise Edition ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2019-19629

Schwachstelle in GitLab Enterprise Edition ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.