Kurzinfo CB-K17/1915

2 Risiko: niedrig
Information zu Schwachstellen und Sicherheitslücken
Titel: GitLab: Mehrere Schwachstellen ermöglichen das Ausspähen von Informationen
Datum: 10.11.2017
Software: GitLab < 9.5.10 CE, GitLab < 9.5.10 EE, GitLab < 10.0.6 CE, GitLab < 10.0.6 EE, GitLab < 10.1.2 CE, GitLab < 10.1.2 EE
Plattform: macOS, GNU/Linux, Microsoft Windows
Auswirkung: Ausspähen von Informationen
Remoteangriff: Ja
Risiko: niedrig
Bezug: GitLab 10.1.2, 10.0.6, 9.5.10 Release Notes
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

GitLab ist ein web-basierter Git Repository Manager geschrieben in Ruby und Go mit Wiki- und Issue-Features, entwickelt von GitLab Inc. und verfügbar unter Open Source Lizenz. Die Software steht als Community Edition (CE) und Enterprise Edition (EE) zur Verfügung.

Mehrere Schwachstellen in GitLab ermöglichen einem entfernten, nicht oder einfach authentisierten Angreifer das Ausspähen von Informationen und die Ausführung von Denial-of-Service (DoS) Angriffen. Der Hersteller stellt GitLab 10.0.2, 10.0.6 und 9.5.10 als Sicherheitsupdates für die Community Edition (CE) und die Enterprise Edition (EE) zur Verfügung. Mit den Sicherheitsupdates wird auch ein Programmfehler für Pivotal-Benutzer behoben, die diese Sicherheitsupdates sonst nicht einspielen könnten. Darüber hinaus wird in Omnibus GitLab die veraltete Version cURL 7.53.0 durch eine aktuelle Version ersetzt, wodurch weitere Schwachstellen behoben werden.

  1. GitLab 10.1.2, 10.0.6, 9.5.10 Release Notes

  2. GitLab CE Issue #39890: MySQL fix for Pivotal users

  3. GitLab EE Issue #3787: Geo JWTs (JSON web tokens) do not expire

  4. GitLab EE Issue #3899: Missing security fix(es?) in EE master

  5. Gitlab CE Issue #33310: Bypassing SSRF protections in project imports using octal and other representations of 127.0.0.1

  6. Gitlab CE Issue #36099: API Responses are missing X-Content-Type-Options header

  7. Omnibus Gitlab Issue #2905: Upgrade curl to patch security vulnerabilities

  8. Schwachstelle CVE-2017-1000100 (NVD)

  9. Schwachstelle CVE-2017-1000101 (NVD)

  10. Schwachstelle CVE-2017-1000254 (NVD)

  11. Schwachstelle CVE-2017-1000257 (NVD)

  12. Schwachstelle CVE-2017-7407 (NVD)

  13. Schwachstelle CVE-2017-7468 (NVD)

  14. Schwachstelle CVE-2017-9502 (NVD)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.