Sicherheitslücke: Gitlab-Lücke ermöglicht Code-Ausführung

Das Entwicklerteam der freien Code-Hosting-Software Gitlab warnt vor Sicherheitslücken in der Community- und Enterprise Edition. Angreifer können die Authentifizierung umgehen oder auch Schadcode ausführen. Updates stehen bereit.

Artikel veröffentlicht am , /Ulrich Bantle/Linux Magazin
Gitlab empfiehlt schnellstmöglich Updates.
Gitlab empfiehlt schnellstmöglich Updates. (Bild: Gitlab)

Mit einem Update für die Versionen 10.5.6, 10.4.6, und 10.3.9 beseitigt der Code-Hosting-Dienst Gitlab verschiedene Sicherheitslücken in seiner Community Edition sowie der Enterprise Edition. Die Entwickler der freien Software raten entsprechend dringend zu einem ein Update auf die genannten Versionen. Das CERT Bund stuft das Risiko von Sicherheitslücken mit der CVE-Nummer CVE-2018-8801 als hoch ein.

Stellenmarkt
  1. (Senior) Project Manager für Android- oder iOS-Applikationen (m/w/d)
    ALDI International Services SE & Co. oHG, Mülheim an der Ruhr
  2. Software-Entwickler / Software-Developer (M/W/D)
    REEL GmbH, Veitshöchheim
Detailsuche

Weitere und grundlegende Details zu den Lücken sollen erst in den kommenden Wochen veröffentlicht werden, wohl um den Nutzern ausreichend Zeit für ein Update zu lassen. Bislang geben die Entwickler nur bekannt, dass sich ein Angreifer im gleichen Netzwerk befinden müsse, damit er die Schwachstellen ausnutzen kann.

Es handle sich dabei um Lücken, die sich der Server Side Request Forgery (SSRF) bedienen. Mit Hilfe speziell manipulierter Anfragen sei es dadurch unter Umständen möglich, Informationen auszuspähen, die Authentifizierung zu umgehen oder auch Schadcode auszuführen. Details und Hintergründe zu dieser Art Sicherheitslücken, SSRF, liefert ein Blogeintrag der Bug-Bounty-Spezialisten von Hackerone.

Schneller Bugfix, weitere Arbeiten später

Die Gitlab-Macher schreiben zur ihrer Lösung: "Um das SSRF-Problem zu beheben, haben wir eine neue Checkbox-Option erstellt, um ausgehende Anfragen an lokale Netzwerke zuzulassen (private IPv4- und IPv6-Adressbereiche). Diese ist derzeit standardmäßig deaktiviert" und finde sich in den Admin-Einstellungen.

Golem Karrierewelt
  1. Deep Dive: Data Architecture mit Spark und Cloud Native: virtueller Ein-Tages-Workshop
    26.04.2023, Virtuell
  2. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    06.-10.03.2023, virtuell
Weitere IT-Trainings

Sollten Nutzer dennoch ausgehende Anfragen für Hooks oder eigene Dienste benötigen, kann die Funktion über die Option zwar wieder aktiviert werden. Das Team warnt aber explizit davor, dass die Gitlab-Instanz dann weiter für die Sicherheitslücke anfällig ist. Das Team will aber an künftig an einer flexibleren Lösung arbeiten und etwa eine Whitelist für die Funktion erstellen.

Eine weitere Lücke, die das Team mit den nun verfügbaren Updates behoben hat, betrifft die Integration von Auth0 in dem Gitlab-Dienst. Hier können bereits authentifizierte Nutzer die Anmeldung eines anderen Anwenders forcieren und so dessen Nutzerrechte erlangen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Nutzerfreundlichkeit und Datenschutz
Fünf All-in-One-Messenger im Vergleichstest

Ständiges Wechseln zwischen Messenger-Apps ist lästig. All-in-One-Messenger versprechen, dieses Problem zu lösen. Wir haben fünf von ihnen getestet und große Unterschiede bei Bedienbarkeit und Datenschutz festgestellt.
Ein Test von Leo Dessani

Nutzerfreundlichkeit und Datenschutz: Fünf All-in-One-Messenger im Vergleichstest
Artikel
  1. Samsung: Galaxy-S23-Modelle sollen merklich teurer werden
    Samsung
    Galaxy-S23-Modelle sollen merklich teurer werden

    Geleakten Preisen zur kommenden Galaxy-S23-Serie zufolge will Samsung bei den Einstiegsversionen des S23 und S23 Plus 100 Euro mehr haben.

  2. Morgan Stanley: Bank reicht Whatsapp-Millionen-Strafe an Angestellte weiter
    Morgan Stanley
    Bank reicht Whatsapp-Millionen-Strafe an Angestellte weiter

    Wegen der Nutzung von Whatsapp hatten Finanzregulatoren 2022 mehrere Banken mit hohen Strafen belegt.

  3. Liberty-Germany-Pleite: Glasfaserausbau trotz Zusage nicht mehr sicher
    Liberty-Germany-Pleite
    Glasfaserausbau trotz Zusage nicht mehr sicher

    "Hello Fiber bringt Glasfaser in deine Gemeinde", lautete der Werbespruch von Liberty. Kann man kleineren FTTH-Anbietern nach der Pleite noch trauen?
    Von Achim Sawall

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • XFX RX 7900 XTX 1.199€ • WSV bei MM • Razer Viper V2 Pro 119,99€ • MindStar: XFX RX 6950 XT 799€, MSI RTX 4090 1.889€ • Epos Sennheiser Game One -55% • RAM/Graka-Preisrutsch • Razer Gaming-Stuhl -41% • 3D-Drucker 249€ • Kingston SSD 1TB 49€ • Asus RTX 4080 1.399€[Werbung]
    •  /