2020-1424: GitLab: Mehrere Schwachstellen ermöglichen u. a. verschiedene Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2020-07-02 20:24)

Neues Advisory

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in Gitlab ermöglichen einem entfernten, teilweise mit bestimmten Rechten ausgestatteten Angreifer das Umgehen von Sicherheitsvorkehrungen, Ausspähen von Informationen, die Durchführung von Cross-Site-Scripting (XSS)- und Denial-of-Service (DoS)-Angriffen. In den Drittanbieterkomponenten PCRE, Xterm.js und Kaminari existiert jeweils eine Schwachstelle. Die Schwachstelle in PCRE ermöglicht ebenfalls einen Denial-of-Service (DoS)-Angriff, die anderen beiden Schwachstellen erlauben einem entfernten Angreifer die Ausführung beliebigen Programmcodes. Für die Programmcodeausführung ist eine Benutzerinteraktion erforderlich. In einem Fall kann ein erfolgreicher Angriff Auswirkungen auf andere Komponenten betroffener Systeme haben.

GitLab informiert über die Schwachstellen und stellt die Versionen 13.1.2, 13.0.8 und 12.10.13 für die Community Edition (CE) und die Enterprise Edition (EE) als Sicherheitsupdates bereit.

Schwachstellen:

CVE-2019-0542

Schwachstelle in Xterm.js ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-11082

Schwachstelle in Kaminari ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-14155

Schwachstelle in Perl-Compatible-Regular-Expression (PCRE) ermöglicht Denial-of-Service-Angriff

GITLAB-13-1-2-A

Schwachstelle in GitLab ermöglicht Umgehen von Sicherheitsvorkehrungen

GITLAB-13-1-2-B

Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-Angriff

GITLAB-13-1-2-C

Schwachstelle in GitLab ermöglicht Umgehen von Sicherheitsvorkehrungen

GITLAB-13-1-2-D

Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-Angriff

GITLAB-13-1-2-E

Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-Angriff

GITLAB-13-1-2-F

Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-Angriff

GITLAB-13-1-2-G

Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-Angriff

GITLAB-13-1-2-H

Schwachstelle in GitLab ermöglicht Umgehen von Sicherheitsvorkehrungen

GITLAB-13-1-2-I

Schwachstelle in GitLab ermöglicht Umgehen von Sicherheitsvorkehrungen

GITLAB-13-1-2-J

Schwachstelle in GitLab ermöglicht Denial-of-Service-Angriff

GITLAB-13-1-2-K

Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-Angriff

GITLAB-13-1-2-L

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

GITLAB-13-1-2-M

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

GITLAB-13-1-2-N

Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-Angriff

GITLAB-13-1-2-O

Schwachstelle in GitLab ermöglicht Umgehen von Sicherheitsvorkehrungen

GITLAB-13-1-2-P

Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.