2022-0736: GitLab: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten

Historie:

Version 1 (2022-04-01 16:03)

Neues Advisory

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Administratorrechte zu erlangen, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, einen Server-Side-Request-Forgery (SSRF)-Angriff, zwei Cross-Site-Scripting (XSS)-Angriffe und mehrere Denial-of-Service (DoS)-Angriffe durchzuführen sowie falsche Informationen darzustellen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers oder können Einfluss auf andere Komponenten haben.

Die Schwachstellen werden mit den Versionen 14.9.2, 14.8.5 und 14.7.7 der GitLab Community Edition (CE) und Enterprise Edition (EE) behoben. Gleichzeitig werden commonmarker auf Version 0.23.4, Grafana auf Version 7.5.15, Mattermost auf die Versionen 6.4.2, 6.3.5 und 6.2.5, Swagger auf Version 4.0.0, Python auf Version 3.8.12, go-proxyproto auf Version 0.6.2 und Devise auf Version 4.0.2 aktualisiert, um weitere Sicherheitsprobleme zu adressieren.

Der Hersteller hat zudem in einer E-Mail zur Veröffentlichung der Sicherheitsupdates darüber informiert, dass die Schwachstelle CVE-2022-1162 Benutzerkonten betrifft, die mit OmniAuth-Anbietern wie OAuth, LDAP oder SAML seit Version 14.7 erstellt wurden, und empfiehlt das Zurücksetzen der Passwörter für solche Benutzerkonten, da nicht ausgeschlossen werden kann, dass die Schwachstelle bereits ausgenutzt wird.

Schwachstellen:

CVE-2022-0740

Schwachstelle in GitLab ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-1099

Schwachstelle in GitLab ermöglicht Denial-of-Service-Angriff

CVE-2022-1100

Schwachstelle in GitLab ermöglicht Denial-of-Service-Angriff

CVE-2022-1105

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2022-1111

Schwachstelle in GitLab ermöglicht Darstellen falscher Informationen

CVE-2022-1120

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2022-1121

Schwachstelle in GitLab ermöglicht Denial-of-Service-Angriff

CVE-2022-1148

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2022-1157

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2022-1162

Schwachstelle in GitLab ermöglicht Erlangen von Administratorrechten

CVE-2022-1174

Schwachstelle in GitLab ermöglicht Denial-of-Service-Angriff

CVE-2022-1175

Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-1185

Schwachstelle in GitLab ermöglicht Denial-of-Service-Angriff

CVE-2022-1188

Schwachstelle in GitLab ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2022-1189

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2022-1190

Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-1193

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.