Diesmal bitte patchen: Security-Update behebt kritische Schwachstelle in GitLab
GitLab 16.x enthält fünf Schwachstellen, von denen eine als kritisch eingestuft ist. Patchen ist nicht selbstverständlich, wie jüngst eine Untersuchung zeigte.
(Bild: JLStock/Shutterstock.com)
Die Betreiber der Versionsverwaltung GitLab haben Security-Patches für die Versionen 16.5 bis 16.8 herausgegeben. Die Updates schließen eine kritische Sicherheitslücke, die das beliebige Schreiben von Dateien beim Anlegen von Workspaces erlaubt. Daneben flickt sie vier weitere Lücken. Betroffen sind sowohl die GitLab Community Edition (CE) als auch die Enterprise Edition (EE).
Wie bei kritischen Schwachstellen üblich, enthalten die Release Notes die dringende Empfehlung, die aktuellste Version möglichst bald zu installieren. Selbstverständlich ist das offenbar nicht: Gerade erst haben IT-Forscher viele GitLab-Server im Netz gefunden, die eine ältere kritische Schwachstelle enthalten, für die bereits seit zwei Wochen ein Patch existiert.
Erweiterte Schreibrechte beim Erstellen von Workspaces
Die jüngste Sicherheitslücke trägt in der Mitre-Datenbank den CVE-Eintrag (Common Vulnerabilities and Exposures) CVE-2024-0402, der beim Schreiben dieser Meldung lediglich als reserviert gekennzeichnet und ohne Beschreibung war. GitLab stuft die Schwachstelle als kritisch ein und gibt ihr den CVSS-Score 9,9/10.
Laut den Release Notes von GitLab erlaubt die Lücke authentifizierten Usern beim Anlegen von Workspaces, Dateien an beliebigen Orten auf dem GitLab-Server zu schreiben. Betroffen ist die vollständige 16-er-Reihe von GitLab. Für die Minor Releases 16.5 bis 16.8 sind nun die Patch-Releases 16.8.1, 16.7.4, 16.6.6 und 16.5.8 verfügbar. Die aktuelle GitLab-Version ist 16.8.
Neben der kritischen Schwachstelle schließen die Bugfix-Releases vier weitere Lücken, die nicht als kritisch, sondern mittelschwer eingestuft sind. Unter anderem können unautorisierte Angreifer beliebige User für erstellte Merge Requests zuweisen, die sie im Projekt angelegt haben. Die Details finden sich in den Release Notes.
Patchen nicht für alle GitLab-Admins selbstverständlich
Den Hinweis, möglichst schnell die Updates einzuspielen, nehmen offenbar nicht alle ernst, die für GitLab-Server verantwortlich sind. Das jüngste Patch-Release kommt kurz nach einer Veröffentlichung von IT-Forschern, die weltweit 5379 im Netz erreichbare GitLab-Server mit einer Schwachstelle gefunden haben, für die zum Zeitpunkt der Untersuchung bereits seit zwei Wochen ein Patch verfügbar war.
Die Lücke mit dem Eintrag CVE-2023-7028 erlaubt es Angreifern, sich Mails zum Rücksetzen eines Passworts an nicht verifizierte E-Mail-Adressen schicken zu lassen und so beliebige Konten zu übernehmen. Deutschland war bei der Zahl der ungepatchten GitLab-Server unrühmlich auf Platz 2 gelandet und lag mit 730 Systemen hinter den USA (964) und knapp vor Russland (721).
(rme)
