In GitLab CE/EE wurde eine Schwachstelle identifiziert, Auswirkungen auf alle Versionen von 16.0 zu 16.5.8, 16.6 zu 16.6.6, 16.7 zu 16.7.4, und 16.8 zu 16.8.1. Dieser Fehler ermöglicht es authentifizierten Benutzern, während der Erstellung eines Arbeitsbereichs Dateien an einen beliebigen Ort auf dem GitLab-Server zu schreiben.
Verfolgt als CVE-2024-0402, Die Verwundbarkeit ist hoch CVSS-Score von 9.9 von 10, betont seine Schwere.
CVE-2024-0402: Kurz Technische Übersicht
Das identifizierte Problem betrifft GitLab CE/EE-Versionen von 16.0 zu 16.5.8, 16.6 zu 16.6.6, 16.7 zu 16.7.4, und 16.8 zu 16.8.1. Es ermöglicht authentifizierten Benutzern, während der Arbeitsbereichserstellung Dateien an beliebige Speicherorte auf dem GitLab-Server zu schreiben. GitLab hat das Problem umgehend mit Patches behoben, auf Versionen zurückportiert 16.5.8, 16.6.6, 16.7.4, und 16.8.1.
Zusätzlich zur Behebung des kritischen Fehlers, GitLab hat im neuesten Update vier Schwachstellen mittlerer Schwere behoben. Dazu gehören Schwachstellen, die zu einem Denial-of-Service durch reguläre Ausdrücke führen können (ReDoS), HTML-Injektion, und die unbeabsichtigte Offenlegung der öffentlichen E-Mail-Adresse eines Benutzers über den Tags-RSS-Feed.
Dies Freisetzung folgt einem früheren Update von GitLab vor zwei Wochen, Dabei hat die DevSecOps-Plattform zwei kritische Mängel behoben, Einer davon könnte ausgenutzt werden, um Konten ohne jegliche Benutzerinteraktion zu übernehmen (CVE-2023-7028, CVSS-Score: 10.0).
CVE-2023-7028 wurde vom Sicherheitsforscher „Asterion“ gemeldet’ über die Bug-Bounty-Plattform HackerOne. Es wurde im Mai eingeführt 1, 2023, mit Version 16.1.0, betrifft verschiedene Versionen, einschließlich der vorhergehenden 16.7.2. GitLab empfiehlt Benutzern dringend, entweder auf die gepatchten Versionen zu aktualisieren (16.7.2, 16.5.6, und 16.6.4) oder den Fix implementieren, die auf Versionen zurückportiert wurde 16.1.6, 16.2.9, und 16.3.7.
Um potenzielle Risiken zu mindern, Benutzern wird dringend empfohlen, ihre GitLab-Installationen umgehend auf die gepatchte Version zu aktualisieren. Bemerkenswert ist, dass in den Umgebungen GitLab.com und GitLab Dedicated bereits die neueste Version ausgeführt wird, Dies unterstreicht, wie wichtig es ist, Software auf dem neuesten Stand zu halten, um Sicherheitsmaßnahmen zu verbessern und sich vor neuen Bedrohungen zu schützen.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: