Kurzinfo CB-K18/0123 Update 1

5 Risiko: sehr hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: GitLab: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Datum: 19.01.2018
Software: GitLab < 10.1.7 CE, GitLab < 10.1.7 EE, GitLab < 10.2.7 CE, GitLab < 10.2.7 EE, GitLab < 10.3.5 CE, GitLab < 10.3.5 EE
Plattform: Apple macOS, GNU/Linux, Microsoft Windows
Auswirkung: Ausführen beliebigen Programmcodes
Remoteangriff: Ja
Risiko: sehr hoch
CVE Liste: CVE-2017-0914, CVE-2017-0915, CVE-2017-0916, CVE-2017-0917, CVE-2017-0918, CVE-2017-0922, CVE-2017-0923, CVE-2017-0924, CVE-2017-0925, CVE-2017-0926, CVE-2017-0927, CVE-2018-3710
Bezug: GitLab Security Release: 10.3.4, 10.2.6, 10.1.6
Revisions Historie
  • Version: 2

    GitLab 10.3.5, 10.2.7 und 10.1.7 wurden veröffentlicht, um eine durch das jüngste Security Release eingeführte Regression bezüglich der Migration von Deploy Keys zu beheben, von der MySQL-Kunden betroffen sind.

  • Version: 1

    Neues Advisory

Beschreibung

GitLab ist ein web-basierter Git Repository Manager geschrieben in Ruby und Go mit Wiki- und Issue-Features, entwickelt von GitLab Inc. und verfügbar unter Open Source Lizenz. Die Software steht als Community Edition (CE) und Enterprise Edition (EE) zur Verfügung.

Zwei Schwachstellen in GitLab ermöglichen einem entfernten und vermutlich einfach authentisierten Angreifer die Ausführung beliebigen Programmcodes. Eine weitere Schwachstelle ermöglicht dem Angreifer die Injektion von Kommandos und damit vermutlich auch die Ausführung beliebigen Programmcodes. Weitere Schwachstellen ermöglichen dem Angreifer Cross-Site-Scripting (XSS)-Angriffe, das Umgehen von Sicherheitsvorkehrungen sowie das Ausspähen von Informationen. Eine Schwachstelle ermöglicht dem Angreifer die Ausführung eines SQL-Injektion-Angriffes. Die Schwachstelle CVE-2017-0922 betrifft nur die Enterprise Edition (EE) von GitLab und ermöglicht dem Angreifer das Umgehen von Sicherheitsvorkehrungen und dadurch das Ausspähen von Informationen. GitLab bestätigt die Schwachstellen und stellt die Versionen 10.1.6, 10.2.6 und 10.3.4 in der Community Edition (CE) und Enterprise Edition (EE) zur Behebung der Schwachstellen zur Verfügung und empfiehlt eine dieser Versionen zu installieren. Für die Versionszweige 8.9 und 9.5 gibt es keine Sicherheitsupdates mehr, weshalb Benutzern empfohlen wird auf einen unterstützen Versionszweig zu migrieren. In etwa 30 Tagen veröffentlicht GitLab den zweiten Teil des Advisories in dem ausführlicher über die behobenen Schwachstellen informiert wird.

  1. GitLab Security Release: 10.3.4, 10.2.6, 10.1.6

  2. Schwachstelle CVE-2017-0914 (NVD)

  3. Schwachstelle CVE-2017-0915 (NVD)

  4. Schwachstelle CVE-2017-0916 (NVD)

  5. Schwachstelle CVE-2017-0917 (NVD)

  6. Schwachstelle CVE-2017-0918 (NVD)

  7. Schwachstelle CVE-2017-0922 (NVD)

  8. Schwachstelle CVE-2017-0923 (NVD)

  9. Schwachstelle CVE-2017-0924 (NVD)

  10. Schwachstelle CVE-2017-0925 (NVD)

  11. Schwachstelle CVE-2017-0926 (NVD)

  12. Schwachstelle CVE-2017-0927 (NVD)

  13. Schwachstelle CVE-2018-3710 (NVD)

  14. GitLab Security Release: 10.3.5, 10.2.7, 10.1.7

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.