2023-0999: GitLab: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2023-05-03 10:19): Neues Advisory

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Benutzerrechte zu erlangen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting (XSS)-Angriff und einen Denial-of-Service (DoS)-Angriff durchzuführen, falsche Informationen darzustellen sowie möglicherweise beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Die Schwachstellen werden mit den Versionen 15.11.1, 15.10.5 und 15.9.6 der GitLab Community Edition (CE) und Enterprise Edition (EE) behoben. Mattermost wird damit auf die Versionen 7.9.1 und 7.9.2 gebracht. Ferner sind Patches für OpenSSL und Grafana enthalten, um die Schwachstellen CVE-2023-0464 bzw. CVE-2023-1410 in GitLab Omnibus zu mitigieren.

Schwachstellen:

CVE-2022-4376

Schwachstelle in GitLab ermöglicht Ausspähen von Informationen

CVE-2023-0464

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2023-0756

Schwachstelle in GitLab ermöglicht u. a. Darstellen falscher Informationen

CVE-2023-0805

Schwachstelle in GitLab ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-1178

Schwachstelle in GitLab ermöglicht Darstellen falscher Informationen

CVE-2023-1410

Schwachstelle in Grafana ermöglicht Privilegieneskalation

CVE-2023-1621

Schwachstelle in GitLab ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-1836

Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-Angriff

CVE-2023-1965

Schwachstelle in GitLab ermöglicht Erlangen von Benutzerrechten

CVE-2023-2069