2024-0098: GitLab: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Benutzerrechten

Historie:

Version 1 (2024-01-12 12:20): Neues Advisory
Version 2 (2024-05-02 18:06): Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle CVE-2023-7028 in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen.

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Benutzerrechte zu erlangen, Dateien zu manipulieren, Sicherheitsvorkehrungen zu umgehen und beliebigen Programmcode mit den Rechten des angemeldeten Benutzers auszuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung der meisten Schwachstellen kann Einfluss auf andere Komponenten haben.

Die Schwachstellen werden mit den Versionen 16.7.2, 16.6.4 und 16.5.6 der GitLab Community Edition (CE) und Enterprise Edition (EE) behoben. Die Schwachstellen CVE-2023-5356 und CVE-2023-7028 werden vom Hersteller als 'kritisch' eingestuft, weshalb der Fix für CVE-2023-7028 auch als Backport in den GitLab Versionen 16.1.6, 16.2.9, 16.3.7 und 16.4.5 enthalten ist. Weiterhin sei zu dieser Schwachstelle auf die vom Hersteller bereitgestellten FAQ verwiesen.

Schwachstellen:

CVE-2023-2030

Schwachstelle in GitLab ermöglicht Manipulation von Dateien

CVE-2023-4812

Schwachstelle in GitLab ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-5356

Schwachstelle in GitLab ermöglicht Ausführen beliebigen Programmcodes mit Benutzerrechten

CVE-2023-6955