2021-0660: GitLab: Mehrere Schwachstellen ermöglichen u. a. das Ausspähen von Informationen
Historie:
- Version 1 (2021-04-01 15:13)
- Neues Advisory
Betroffene Software
Entwicklung
Server
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Ein Angreifer, der in mehreren Fällen über niedrige und in einem Fall über erweiterte Privilegien verfügen muss, kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Dateien zu manipulieren und um Cross-Site-Scripting (XSS)-Angriffe sowie einen Cross-Site-Request-Forgery (CSRF)- und einen Denial-of-Service (DoS)-Angriff durchzuführen. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.
Die Schwachstellen werden mit den Versionen 13.10.1, 13.9.5 und 13.8.7 der GitLab Community Edition (CE) und Enterprise Edition (EE) behoben.
Zudem werden aus Sicherheitsgründen OpenSSL auf Version 1.1.1j und die Software-Abhängigkeiten von PostgreSQL 11 und 12 auf die Versionen 11.11 und 12.6 aktualisiert.
Schwachstellen:
GitLab-13-10-1-A
Schwachstelle in GitLab ermöglicht u. a. Ausspähen von InformationenGitLab-13-10-1-B
Schwachstelle in GitLab ermöglicht u. a. Ausspähen von InformationenGitLab-13-10-1-C
Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-AngriffGitLab-13-10-1-D
Schwachstelle in GitLab ermöglicht Ausspähen von InformationenGitLab-13-10-1-E
Schwachstelle in GitLab ermöglicht Manipulation von DateienGitLab-13-10-1-F
Schwachstelle in GitLab ermöglicht Denial-of-Service-AngriffGitLab-13-10-1-G
Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-AngriffGitLab-13-10-1-H
Schwachstelle in GitLab ermöglicht Cross-Site-Request-Forgery-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.