2020-2001: GitLab: Mehrere Schwachstellen ermöglichen u. a. eine Privilegieneskalation
Historie:
- Version 1 (2020-09-16 11:30)
- Neues Advisory
- Version 2 (2020-09-17 11:19)
- Der Hersteller weist darauf hin, dass zur Ausnutzung der kritischen Schwachstelle CVE-2020-13300 keinerlei Privilegien erforderlich sind.
Betroffene Software
Entwicklung
Server
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in GitLab sowie dessen Komponenten JQuery und websocket-extensions ermöglichen einem entfernten Angreifer mit meist üblichen Benutzerrechten das Ausführen beliebigen Programmcodes, das Ausspähen von Informationen, Cross-Site-Scripting (XSS)-Angriffe, Denial-of-Service (DoS)-Angriffe, das Erlangen von Benutzerrechten, die Eskalation von Privilegien, einen Server-Side-Request-Forgery (SSRF)-Angriff und das Umgehen von Sicherheitsvorkehrungen. Mehrere Angriffe können Einfluss auf weitere Komponenten betroffener Systeme haben.
GitLab informiert über die Schwachstellen und stellt die Versionen 13.3.4, 13.2.8 und 13.1.10 für die Community Edition (CE) und die Enterprise Edition (EE) als Sicherheitsupdates bereit.
Schwachstellen:
CVE-2020-11022
Schwachstelle in jQuery ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-13284
Schwachstelle in GitLab ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2020-13287
Schwachstelle in GitLab ermöglicht Ausspähen von InformationenCVE-2020-13289
Schwachstelle in GitLab ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2020-13297
Schwachstelle in GitLab ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2020-13298
Schwachstelle in GitLab ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2020-13299
Schwachstelle in GitLab ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2020-13300
Schwachstelle in GitLab ermöglicht PrivilegieneskalationCVE-2020-13301
Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-AngriffCVE-2020-13302
Schwachstelle in GitLab ermöglicht Erlangen von BenutzerrechtenCVE-2020-13303
Schwachstelle in GitLab ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2020-13304
Schwachstelle in GitLab ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2020-13305
Schwachstelle in GitLab ermöglicht Ausspähen von InformationenCVE-2020-13306
Schwachstelle in GitLab ermöglicht Denial-of-Service-AngriffCVE-2020-13307
Schwachstelle in GitLab ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2020-13308
Schwachstelle in GitLab ermöglicht Denial-of-Service-AngriffCVE-2020-13309
Schwachstelle in GitLab ermöglicht Server-Side-Request-Forgery-AngriffCVE-2020-13310
Schwachstelle in GitLab ermöglicht Denial-of-Service-AngriffCVE-2020-13311
Schwachstelle in GitLab ermöglicht Denial-of-Service-AngriffCVE-2020-13313
Schwachstelle in GitLab ermöglicht PrivilegieneskalationCVE-2020-13314
Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-AngriffCVE-2020-13315
Schwachstelle in GitLab ermöglicht Denial-of-Service-AngriffCVE-2020-13316
Schwachstelle in GitLab ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2020-13317
Schwachstelle in GitLab ermöglicht PrivilegieneskalationCVE-2020-13318
Schwachstelle in GitLab ermöglicht PrivilegieneskalationCVE-2020-7663
Schwachstelle in websocket-extensions ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.