Kurzinfo CB-K17/1354

5 Risiko: sehr hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: GitLab: Zwei Schwachstellen ermöglichen u.a. die Ausführung beliebiger Kommandozeilenbefehle
Datum: 11.08.2017
Software: GitLab < CE 8.17.8, GitLab < EE 8.17.8, GitLab < CE 9.0.13, GitLab < EE 9.0.13, GitLab < CE 9.1.10, GitLab < EE 9.1.10, GitLab < CE 9.2.10, GitLab < EE 9.2.10, GitLab < CE 9.3.10, GitLab < EE 9.3.10, GitLab < CE 9.4.4, GitLab < EE 9.4.4
Plattform: Apple Mac OS X, macOS Sierra, GNU/Linux, Microsoft Windows
Auswirkung: Ausführen beliebigen Programmcodes
Remoteangriff: Ja
Risiko: sehr hoch
CVE Liste: CVE-2017-12426
Bezug: GitLab 9.4.4, 9.3.10, 9.2.10, 9.1.10, 9.0.13, 8.17.8 Release Notes
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

GitLab ist ein web-basierter Git Repository Manager geschrieben in Ruby und Go mit Wiki- und Issue-Features, entwickelt von GitLab Inc. und verfügbar unter Open Source Lizenz. Die Software steht als Community Edition (CE) und Enterprise Edition (EE) zur Verfügung.

Eine Schwachstelle in GitLab ermöglicht einem entfernten, nicht authentisierten Angreifer die Ausführung beliebiger Kommandozeilenbefehle über speziell präparierte SSH-URLs. Eine weitere Schwachstelle kann von einem entfernten, einfach authentisierten Angreifer ausgenutzt werden, um unberechtigt Repositories anderer Benutzer zu klonen. Der Hersteller stellt die Versionen 9.4.4, 9.3.10, 9.2.10, 9.1.10, 9.0.13 und 8.17.8 für die GitLab Community Edition (CE) und Enterprise Edition (EE) als Sicherheitsupdates zur Verfügung.

  1. GitLab 9.4.4, 9.3.10, 9.2.10, 9.1.10, 9.0.13, 8.17.8 Release Notes

  2. GitLab Issue #36091: Arbitrary Repository Clone / File Disclosure

  3. Schwachstelle CVE-2017-12426 (NVD)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.