Abo
  • IT-Karriere:

Sicherheitslücke: Gitlab-Lücke ermöglicht Code-Ausführung

Das Entwicklerteam der freien Code-Hosting-Software Gitlab warnt vor Sicherheitslücken in der Community- und Enterprise Edition. Angreifer können die Authentifizierung umgehen oder auch Schadcode ausführen. Updates stehen bereit.

Artikel veröffentlicht am , /Ulrich Bantle/Linux Magazin
Gitlab empfiehlt schnellstmöglich Updates.
Gitlab empfiehlt schnellstmöglich Updates. (Bild: Gitlab)

Mit einem Update für die Versionen 10.5.6, 10.4.6, und 10.3.9 beseitigt der Code-Hosting-Dienst Gitlab verschiedene Sicherheitslücken in seiner Community Edition sowie der Enterprise Edition. Die Entwickler der freien Software raten entsprechend dringend zu einem ein Update auf die genannten Versionen. Das CERT Bund stuft das Risiko von Sicherheitslücken mit der CVE-Nummer CVE-2018-8801 als hoch ein.

Stellenmarkt
  1. Siltronic AG, Freiberg
  2. AL-KO Geräte GmbH, Kötz

Weitere und grundlegende Details zu den Lücken sollen erst in den kommenden Wochen veröffentlicht werden, wohl um den Nutzern ausreichend Zeit für ein Update zu lassen. Bislang geben die Entwickler nur bekannt, dass sich ein Angreifer im gleichen Netzwerk befinden müsse, damit er die Schwachstellen ausnutzen kann.

Es handle sich dabei um Lücken, die sich der Server Side Request Forgery (SSRF) bedienen. Mit Hilfe speziell manipulierter Anfragen sei es dadurch unter Umständen möglich, Informationen auszuspähen, die Authentifizierung zu umgehen oder auch Schadcode auszuführen. Details und Hintergründe zu dieser Art Sicherheitslücken, SSRF, liefert ein Blogeintrag der Bug-Bounty-Spezialisten von Hackerone.

Schneller Bugfix, weitere Arbeiten später

Die Gitlab-Macher schreiben zur ihrer Lösung: "Um das SSRF-Problem zu beheben, haben wir eine neue Checkbox-Option erstellt, um ausgehende Anfragen an lokale Netzwerke zuzulassen (private IPv4- und IPv6-Adressbereiche). Diese ist derzeit standardmäßig deaktiviert" und finde sich in den Admin-Einstellungen.

Sollten Nutzer dennoch ausgehende Anfragen für Hooks oder eigene Dienste benötigen, kann die Funktion über die Option zwar wieder aktiviert werden. Das Team warnt aber explizit davor, dass die Gitlab-Instanz dann weiter für die Sicherheitslücke anfällig ist. Das Team will aber an künftig an einer flexibleren Lösung arbeiten und etwa eine Whitelist für die Funktion erstellen.

Eine weitere Lücke, die das Team mit den nun verfügbaren Updates behoben hat, betrifft die Integration von Auth0 in dem Gitlab-Dienst. Hier können bereits authentifizierte Nutzer die Anmeldung eines anderen Anwenders forcieren und so dessen Nutzerrechte erlangen.



Anzeige
Spiele-Angebote
  1. 2,99€
  2. (-60%) 23,99€
  3. 4,99€
  4. 4,99€

zepho17 24. Mär 2018

Haben hier gerade auf 10.6.0 aktualisiert ohne Probleme. Builds laufen, alle Repos und...


Folgen Sie uns
       


Lenovo Thinkbook 13s - Test

Das Thinkbook wirkt wie eine Mischung aus teurem Thinkpad und preiswerterem Ideapad. Das klasse Gehäuse und die sehr gute Tastatur zeigen Qualität, das Display und die Akkulaufzeit sind die Punkte, bei denen gespart wurde.

Lenovo Thinkbook 13s - Test Video aufrufen
Smarte Wecker im Test: Unter den Blinden ist der Einäugige König
Smarte Wecker im Test
Unter den Blinden ist der Einäugige König

Einen guten smarten Wecker zu bauen, ist offenbar gar nicht so einfach. Bei Amazons Echo Show 5 und Lenovos Smart Clock fehlen uns viele Basisfunktionen. Dafür ist einer der beiden ein besonders preisgünstiges und leistungsfähiges smartes Display.
Ein Test von Ingo Pakalski

  1. Nest Hub im Test Google vermasselt es 1A

Nachhaltigkeit: Jute im Plastik
Nachhaltigkeit
Jute im Plastik

Baustoff- und Autohersteller nutzen sie zunehmend, doch etabliert sind Verbundwerkstoffe mit Naturfasern noch lange nicht. Dabei gibt es gute Gründe, sie einzusetzen, Umweltschutz ist nur einer von vielen.
Ein Bericht von Werner Pluta

  1. Nachhaltigkeit Bauen fürs Klima
  2. Autos Elektro, Brennstoffzelle oder Diesel?
  3. Energie Wo die Wasserstoffqualität getestet wird

Indiegames-Rundschau: Epische ASCII-Abenteuer und erlebnishungrige Astronauten
Indiegames-Rundschau
Epische ASCII-Abenteuer und erlebnishungrige Astronauten

In Stone Story RPG erwacht ASCII-Art zum Leben, die Astronauten in Oxygen Not Included erleben tragikomische Slapstick-Abenteuer, dazu kommen Aufbaustrategie plus Action und Sammelkartenspiele: Golem.de stellt neue Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Von Bananen und Astronauten
  2. Indiegames-Rundschau Verloren im Sonnensystem und im Mittelalter
  3. Indiegames-Rundschau Drogen, Schwerter, Roboter-Ritter

    •  /