2022-0265: GitLab: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Benutzerrechten

Historie:

Version 1 (2022-02-04 16:46): Neues Advisory

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in GitLab ermöglichen einem Angreifer das Ausspähen von Informationen, das Darstellen falscher Informationen, Denial-of-Service (DoS)-Angriffe, das Erlangen von Benutzerrechten, einen Man-in-the-Middle (MitM)-Angriff, die Manipulation von Dateien, eine Privilegieneskalation und verschiedene Server-Side-Request-Forgery (SSRF)-Angriffe aus der Ferne.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Die Schwachstellen werden mit den Versionen 14.7.1, 14.6.4 und 14.5.4 der GitLab Community Edition (CE) und Enterprise Edition (EE) behoben. Mit diesen Updates werden Mattermost auf Version 6.1.1, Go auf Version 2.9.1, Rouge auf Version 3.27.0 und Mermaid auf Version 8.13.10 aktualisiert, um weitere Sicherheitsprobleme in GitLab CE/EE oder GitLab Omnibus zu adressieren.

Schwachstellen:

CVE-2021-39943

Schwachstelle in GitLab ermöglicht Privilegieneskalation

CVE-2022-0123

Schwachstelle in GitLab ermöglicht Man-in-the-Middle-Angriff