Abo
  • Services:

Sicherheitslücke: Gitlab-Lücke ermöglicht Code-Ausführung

Das Entwicklerteam der freien Code-Hosting-Software Gitlab warnt vor Sicherheitslücken in der Community- und Enterprise Edition. Angreifer können die Authentifizierung umgehen oder auch Schadcode ausführen. Updates stehen bereit.

Artikel veröffentlicht am , /Ulrich Bantle/Linux Magazin
Gitlab empfiehlt schnellstmöglich Updates.
Gitlab empfiehlt schnellstmöglich Updates. (Bild: Gitlab)

Mit einem Update für die Versionen 10.5.6, 10.4.6, und 10.3.9 beseitigt der Code-Hosting-Dienst Gitlab verschiedene Sicherheitslücken in seiner Community Edition sowie der Enterprise Edition. Die Entwickler der freien Software raten entsprechend dringend zu einem ein Update auf die genannten Versionen. Das CERT Bund stuft das Risiko von Sicherheitslücken mit der CVE-Nummer CVE-2018-8801 als hoch ein.

Stellenmarkt
  1. Dataport, verschiedene Standorte
  2. über duerenhoff GmbH, Raum Augsburg

Weitere und grundlegende Details zu den Lücken sollen erst in den kommenden Wochen veröffentlicht werden, wohl um den Nutzern ausreichend Zeit für ein Update zu lassen. Bislang geben die Entwickler nur bekannt, dass sich ein Angreifer im gleichen Netzwerk befinden müsse, damit er die Schwachstellen ausnutzen kann.

Es handle sich dabei um Lücken, die sich der Server Side Request Forgery (SSRF) bedienen. Mit Hilfe speziell manipulierter Anfragen sei es dadurch unter Umständen möglich, Informationen auszuspähen, die Authentifizierung zu umgehen oder auch Schadcode auszuführen. Details und Hintergründe zu dieser Art Sicherheitslücken, SSRF, liefert ein Blogeintrag der Bug-Bounty-Spezialisten von Hackerone.

Schneller Bugfix, weitere Arbeiten später

Die Gitlab-Macher schreiben zur ihrer Lösung: "Um das SSRF-Problem zu beheben, haben wir eine neue Checkbox-Option erstellt, um ausgehende Anfragen an lokale Netzwerke zuzulassen (private IPv4- und IPv6-Adressbereiche). Diese ist derzeit standardmäßig deaktiviert" und finde sich in den Admin-Einstellungen.

Sollten Nutzer dennoch ausgehende Anfragen für Hooks oder eigene Dienste benötigen, kann die Funktion über die Option zwar wieder aktiviert werden. Das Team warnt aber explizit davor, dass die Gitlab-Instanz dann weiter für die Sicherheitslücke anfällig ist. Das Team will aber an künftig an einer flexibleren Lösung arbeiten und etwa eine Whitelist für die Funktion erstellen.

Eine weitere Lücke, die das Team mit den nun verfügbaren Updates behoben hat, betrifft die Integration von Auth0 in dem Gitlab-Dienst. Hier können bereits authentifizierte Nutzer die Anmeldung eines anderen Anwenders forcieren und so dessen Nutzerrechte erlangen.



Anzeige
Hardware-Angebote
  1. bei Alternate vorbestellen
  2. (u. a. RT-AC5300 + Black Ops 4 für 255,20€ + Versand)

zepho17 24. Mär 2018

Haben hier gerade auf 10.6.0 aktualisiert ohne Probleme. Builds laufen, alle Repos und...


Folgen Sie uns
       


Shadow of the Tomb Raider - Golem.de live Teil 1

In Teil 1 im Livestream zu Shadow of the Tomb Raider gibt es zahlreiche Grafik-Menüs, schöne Screenshots und Laras Start in die Apokalypse.

Shadow of the Tomb Raider - Golem.de live Teil 1 Video aufrufen
iOS 12 im Test: Auch Apple will es Nutzern leichter machen
iOS 12 im Test
Auch Apple will es Nutzern leichter machen

Apple setzt mit iOS 12 weniger auf aufsehenerregende Funktionen als auf viele kleine Verbesserungen für den Alltag. Das erinnert an Google und Android 9, was nicht zwingend schlecht ist.
Ein Test von Tobias Költzsch

  1. Apple iOS 12.1 verrät neues iPad Pro
  2. Apple Siri-Kurzbefehle-App für iOS 12 verfügbar

Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


    Retrogaming: Maximal unnötige Minis
    Retrogaming
    Maximal unnötige Minis

    Nanu, die haben wir doch schon mal weggeschmissen - und jetzt sollen wir 100 Euro dafür ausgeben? Mit Minikonsolen fahren Anbieter wie Sony und Nintendo vermutlich hohe Gewinne ein, dabei gäbe es eine für alle bessere Alternative: Software statt Hardware.
    Ein IMHO von Peter Steinlechner

    1. Streaming Heilloses Durcheinander bei Netflix und Amazon Prime
    2. Sicherheit Ein Lob für Twitter und Github
    3. Linux Mit Ignoranz gegen die GPL

      •  /