Original-URL des Artikels: https://www.golem.de/news/sicherheitsluecke-gitlab-luecke-ermoeglicht-code-ausfuehrung-1803-133499.html    Veröffentlicht: 23.03.2018 14:15    Kurz-URL: https://glm.io/133499

Sicherheitslücke

Gitlab-Lücke ermöglicht Code-Ausführung

Das Entwicklerteam der freien Code-Hosting-Software Gitlab warnt vor Sicherheitslücken in der Community- und Enterprise Edition. Angreifer können die Authentifizierung umgehen oder auch Schadcode ausführen. Updates stehen bereit.

Mit einem Update für die Versionen 10.5.6, 10.4.6, und 10.3.9 beseitigt der Code-Hosting-Dienst Gitlab verschiedene Sicherheitslücken in seiner Community Edition sowie der Enterprise Edition. Die Entwickler der freien Software raten entsprechend dringend zu einem ein Update auf die genannten Versionen. Das CERT Bund stuft das Risiko von Sicherheitslücken mit der CVE-Nummer CVE-2018-8801 als hoch ein.

Weitere und grundlegende Details zu den Lücken sollen erst in den kommenden Wochen veröffentlicht werden, wohl um den Nutzern ausreichend Zeit für ein Update zu lassen. Bislang geben die Entwickler nur bekannt, dass sich ein Angreifer im gleichen Netzwerk befinden müsse, damit er die Schwachstellen ausnutzen kann.

Es handle sich dabei um Lücken, die sich der Server Side Request Forgery (SSRF) bedienen. Mit Hilfe speziell manipulierter Anfragen sei es dadurch unter Umständen möglich, Informationen auszuspähen, die Authentifizierung zu umgehen oder auch Schadcode auszuführen. Details und Hintergründe zu dieser Art Sicherheitslücken, SSRF, liefert ein Blogeintrag der Bug-Bounty-Spezialisten von Hackerone.

Schneller Bugfix, weitere Arbeiten später

Die Gitlab-Macher schreiben zur ihrer Lösung: "Um das SSRF-Problem zu beheben, haben wir eine neue Checkbox-Option erstellt, um ausgehende Anfragen an lokale Netzwerke zuzulassen (private IPv4- und IPv6-Adressbereiche). Diese ist derzeit standardmäßig deaktiviert" und finde sich in den Admin-Einstellungen.

Sollten Nutzer dennoch ausgehende Anfragen für Hooks oder eigene Dienste benötigen, kann die Funktion über die Option zwar wieder aktiviert werden. Das Team warnt aber explizit davor, dass die Gitlab-Instanz dann weiter für die Sicherheitslücke anfällig ist. Das Team will aber an künftig an einer flexibleren Lösung arbeiten und etwa eine Whitelist für die Funktion erstellen.

Eine weitere Lücke, die das Team mit den nun verfügbaren Updates behoben hat, betrifft die Integration von Auth0 in dem Gitlab-Dienst. Hier können bereits authentifizierte Nutzer die Anmeldung eines anderen Anwenders forcieren und so dessen Nutzerrechte erlangen.  (sg)


Verwandte Artikel:
Nachrichten-Vorlesen: Siri soll bald schweigen   
(23.03.2018, https://glm.io/133488 )
Hostingplattform: Gitlab nach Backup-Fehler wieder erreichbar   
(01.02.2017, https://glm.io/125943 )
Websicherheit: Server mit HTTP-Headern verwirren   
(31.07.2017, https://glm.io/129207 )
Vernetzte Yachten: Auch schwimmende IoT-Systeme sind nicht sicher   
(22.03.2018, https://glm.io/133456 )
Troopers 2018: "Responsible Disclosure hilft nur dem Hersteller"   
(16.03.2018, https://glm.io/133362 )

© 1997–2020 Golem.de, https://www.golem.de/