Übersicht über die Schwachstellen
GitLab hat erneut einen Sicherheitspatch veröffentlicht, um eine kritische Sicherheitslücke in der Community Edition (CE) und der Enterprise Edition (EE) zu beheben, die dazu genutzt werden kann, beliebige Dateien beim Erstellen von Arbeitsbereichen zu schreiben.
Diese Schwachstellennummer lautet CVE-2024-0402Der CVSS-Score beträgt 9,9 von 10.
In einem Bulletin vom 25. Januar 2024 erklärte GitLab: "Es wurde ein Problem in GitLab CE/EE identifiziert, das alle Versionen unterhalb von 16.5.8, 16.6.6, 16.7.4 und 16.8.1 betrifft und es einem authentifizierten Benutzer ermöglicht, eine Datei an einen beliebigen Ort auf einem GitLab Workspace Creation Server an einen beliebigen Ort zu schreiben."
Betroffene Versionen
- GitLab CE/EE alle Versionen unter 16.5.8, 16.6.6, 16.7.4 und 16.8.1
Sicherheitsrisiko
- Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte beliebige Dateien auf den GitLab-Server schreiben, um bösartigen Code einzuschleusen, sensible Daten zu stehlen oder das System zu destabilisieren.
Programm zur Wiederherstellung
- Aktualisieren Sie Ihre GitLab-Instanz auf eine Version, die die Sicherheitslücke sofort behebt:
- GitLab CE/EE 16.5.8
- GitLab CE/EE 16.6.6
- GitLab CE/EE 16.7.4
- GitLab CE/EE 16.8.1
- Wenn eine sofortige Aufrüstung nicht möglich ist, ergreifen Sie die folgenden Abhilfemaßnahmen:
- Schränkt die Berechtigungen der Benutzer ein, die Arbeitsbereiche erstellen können.
- Überwachen Sie die Systemaktivitäten genau und ergreifen Sie Maßnahmen bei verdächtigem Verhalten.
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/schwachstelle-bei-der-erstellung-von-gitlab-arbeitsbereichen-ermoglicht-das- uberschreiben-von-dateien-html
