Jetzt patchen! Kritische Sicherheitslücke in GitLab ermöglicht Accountklau
Der Fehler wird bereits aktiv von Kriminellen ausgenutzt, Administratoren sollten zügig handeln und ihre GitLab-Instanzen aktualisieren oder abschotten.
(Bild: JLStock/Shutterstock.com)
Eine Sicherheitslücke für GitLab mit kritischem Schadenspotential kursiert seit dem Morgen. Die Community Edition (CE) und Enterprise Edition (EE) der Plattform zum Software-Projektmanagement leidet unter einem Problem, das die Übernahme beliebiger Konten durch das Zurücksetzen des Passworts ermöglicht.
Die Sicherheitslücke mit der CVE-ID CVE-2023-7028 hat die CVSS-Höchstpunktzahl von 10.0 und ist aus der Ferne ohne vorherige Anmeldung ausnutzbar. Wie heise Security von Betroffenen erfuhr, haben Cyberkriminielle am heutigen 12. Januar bereits erfolgreiche Angriffe auf GitLab-Instanzen durchgeführt.
Betroffen sind alle Versionen
- des Versionsbaums 16.1 vor 16.1.6,
- des Versionsbaums 16.2 vor 16.2.9,
- des Versionsbaums 16.3 vor 16.3.7,
- des Versionsbaums 16.4 vor 16.4.5,
- des Versionsbaums 16.5 vor 16.5.6,
- des Versionsbaums 16.6 vor 16.6.4 und
- des Versionsbaums 16.7 vor 16.7.2.
In den jeweils letztgenannten Versionen ist das Problem behoben – Admins sollten baldmöglichst ihre GitLab-Instanzen aktualisieren. Ist dies nicht möglich, sollten sie eine Abschaltung erwägen oder die Instanzen vom öffentlichen Internet abschotten.
Auch Slack-Integration und Workflows löchrig
Auch in der Slack- bzw. Mattermost-Integration bei GitLab klafft eine schwere Lücke (CVE-2023-5356, CVSS 9.6/10, kritische Gefahrenstufe), dank der ein angemeldeter Nutzer mittels Chat-Kommandos Befehle mit den Rechten eines anderen, höher privilegierten Nutzers ausführen kann. Der Fehler in der Chat-Integration betrifft GitLab-Versionen bis zurück zu 8.13, ist in den obengenannten Aktualisierungen jedoch ebenfalls behoben.
Zwei weitere Sicherheitsfehler (CVE-2023-4812 und CVE-2023-6955) mit hohem bzw. mittlerem Schweregrad betreffen dieselben Versionen und erlauben unerlaubte Änderungen an Workspaces sowie die unbefugte Genehmigung von Merge Requests.
In GitLab klaffen immer wieder schwere Sicherheitslücken, so etwa vergangenen Dezember und vorigen Mai – damals ebenfalls mit dem CVSS-Maximalwert von 10.
(cku)
