DFN-CERT

Advisory-Archiv

2020-1714: GitLab: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-08-06 19:24)
Neues Advisory

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in GitLab und eine Schwachstelle in dem vom GitLab verwendeten Kramdown Gem ermöglichen einem entfernten Angreifer das Ausführen beliebigen Programmcodes, das Ausspähen von Informationen, zwei Denial-of-Service (DoS)-Angriffe, zwei Server-Side-Request-Forgery (SSRF)-Angriffe, mehrere Cross-Site-Scripting (XSS)-Angriffe, das Eskalieren von Privilegien, die Manipulation von Dateien und das Umgehen von Sicherheitsvorkehrungen.

GitLab informiert über die Schwachstellen und veröffentlicht GitLab Community Edition (CE) und Enterprise Edition (EE) in den Versionen 13.2.3, 13.1.6 und 13.0.12, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2020-10977

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2020-13280

Schwachstelle in GitLab ermöglicht Denial-of-Service-Angriff

CVE-2020-13281

Schwachstelle in GitLab ermöglicht Denial-of-Service-Angriff

CVE-2020-14001

Schwachstelle in kramdown ermöglicht u. a. Ausführen beliebigen Programmcodes

GITLAB-13-2-3-D

Schwachstelle in GitLab ermöglicht Server-Side-Request-Forgery-Angriff

GITLAB-13-2-3-E

Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-Angriff

GITLAB-13-2-3-F

Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-Angriff

GITLAB-13-2-3-G

Schwachstelle in GitLab ermöglicht Privilegieneskalation

GITLAB-13-2-3-H

Schwachstelle in GitLab ermöglicht Umgehen von Sicherheitsvorkehrungen

GITLAB-13-2-3-I

Schwachstelle in GitLab ermöglicht Manipulation von Dateien

GITLAB-13-2-3-J

Schwachstelle in GitLab ermöglicht Privilegieneskalation

GITLAB-13-2-3-K

Schwachstelle in GitLab ermöglicht Privilegieneskalation

GITLAB-13-2-3-L

Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-Angriff

GITLAB-13-2-3-M

Schwachstelle in GitLab ermöglicht Umgehen von Sicherheitsvorkehrungen

GITLAB-13-2-3-N

Schwachstelle in GitLab ermöglicht Server-Side-Request-Forgery-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.