Sicherheitslücke: Gitlab-Lücke ermöglicht Code-Ausführung

Das Entwicklerteam der freien Code-Hosting-Software Gitlab warnt vor Sicherheitslücken in der Community- und Enterprise Edition. Angreifer können die Authentifizierung umgehen oder auch Schadcode ausführen. Updates stehen bereit.

Artikel veröffentlicht am , /Ulrich Bantle/Linux Magazin
Gitlab empfiehlt schnellstmöglich Updates.
Gitlab empfiehlt schnellstmöglich Updates. (Bild: Gitlab)

Mit einem Update für die Versionen 10.5.6, 10.4.6, und 10.3.9 beseitigt der Code-Hosting-Dienst Gitlab verschiedene Sicherheitslücken in seiner Community Edition sowie der Enterprise Edition. Die Entwickler der freien Software raten entsprechend dringend zu einem ein Update auf die genannten Versionen. Das CERT Bund stuft das Risiko von Sicherheitslücken mit der CVE-Nummer CVE-2018-8801 als hoch ein.

Weitere und grundlegende Details zu den Lücken sollen erst in den kommenden Wochen veröffentlicht werden, wohl um den Nutzern ausreichend Zeit für ein Update zu lassen. Bislang geben die Entwickler nur bekannt, dass sich ein Angreifer im gleichen Netzwerk befinden müsse, damit er die Schwachstellen ausnutzen kann.

Es handle sich dabei um Lücken, die sich der Server Side Request Forgery (SSRF) bedienen. Mit Hilfe speziell manipulierter Anfragen sei es dadurch unter Umständen möglich, Informationen auszuspähen, die Authentifizierung zu umgehen oder auch Schadcode auszuführen. Details und Hintergründe zu dieser Art Sicherheitslücken, SSRF, liefert ein Blogeintrag der Bug-Bounty-Spezialisten von Hackerone.

Schneller Bugfix, weitere Arbeiten später

Die Gitlab-Macher schreiben zur ihrer Lösung: "Um das SSRF-Problem zu beheben, haben wir eine neue Checkbox-Option erstellt, um ausgehende Anfragen an lokale Netzwerke zuzulassen (private IPv4- und IPv6-Adressbereiche). Diese ist derzeit standardmäßig deaktiviert" und finde sich in den Admin-Einstellungen.

Sollten Nutzer dennoch ausgehende Anfragen für Hooks oder eigene Dienste benötigen, kann die Funktion über die Option zwar wieder aktiviert werden. Das Team warnt aber explizit davor, dass die Gitlab-Instanz dann weiter für die Sicherheitslücke anfällig ist. Das Team will aber an künftig an einer flexibleren Lösung arbeiten und etwa eine Whitelist für die Funktion erstellen.

Eine weitere Lücke, die das Team mit den nun verfügbaren Updates behoben hat, betrifft die Integration von Auth0 in dem Gitlab-Dienst. Hier können bereits authentifizierte Nutzer die Anmeldung eines anderen Anwenders forcieren und so dessen Nutzerrechte erlangen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Whistleblower
Ehemaliger US-Konteradmiral äußert sich zu Außerirdischen

Wieder hat sich in den USA ein ehemals hochrangiger Militär und Beamter über Kontakte mit Aliens geäußert.

Whistleblower: Ehemaliger US-Konteradmiral äußert sich zu Außerirdischen
Artikel
  1. Schadstoffnorm 7: Neue Grenzwerte für Abrieb gelten auch für E-Autos
    Schadstoffnorm 7
    Neue Grenzwerte für Abrieb gelten auch für E-Autos

    Die neue Euronorm 7 legt nicht nur Grenzwerte für Bremsen- und Reifenabrieb fest, sondern auch Mindestanforderungen für Akkus.

  2. Ramjet: General Electric testet Hyperschalltriebwerk
    Ramjet
    General Electric testet Hyperschalltriebwerk

    Das Triebwerk soll Flüge mit Mach 5 ermöglichen.

  3. Elektroautos: Mercedes und Stellantis übernehmen komplette Umweltprämie
    Elektroautos
    Mercedes und Stellantis übernehmen komplette Umweltprämie

    Nach dem abrupten Aus der staatlichen Förderung springen erste Hersteller von Elektroautos ein.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Last-Minute-Angebote bei Amazon • Avatar & The Crew Motorfest bis -50% • Xbox Series X 399€ • Cherry MX Board 3.0 S 49,95€ • Crucial MX500 2 TB 110,90€ • AVM FRITZ!Box 7590 AX + FRITZ!DECT 500 219€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /