Sicherheitsupdates: Angreifer können GitLab-Accounts übernehmen
Wichtige Sicherheitsupdates schließen mehrere Sicherheitslücken in GitLab. Der Anbieter rät zu einem zügigen Update.
(Bild: Artur Szczybylo/Shutterstock.com)
Softwareentwickler sollen ihre GitLab-Umgebung aus Sicherheitsgründen auf den aktuellen Stand bringen. In aktuellen Versionen haben die Entwickler mehrere Schwachstellen geschlossen. Unter bestimmten Voraussetzungen können Angreifer GitLab-Accounts kompromittieren.
In einer Warnmeldung gibt der Anbieter an, dass GitLab Community Edition und Enterprise Edition bedroht sind. In den Ausgaben 16.9.6, 16.10.4 und 16.11.1 haben die Entwickler eigenen Angaben zufolge fünf Sicherheitslücken geschlossen. Auf GitLab.com sollen bereits die abgesicherten Ausgaben laufen.
Auswirkungen von Attacken
Wenn Bitbucket in einer GitLab-Umgebung als OAuth-2.0-Anbieter zum Einsatz kommt, kann ein Angreifer aufgrund einer Schwachstelle (CVE-2024-4024 "hoch") auf einem nicht näher beschrieben Weg ein GitLab-Konto, das mit dem Bitbucket-Konto eines anderen Benutzer verknüpft ist, übernehmen.
Darüber hinaus können Angreifer noch DoS-Attacken (CVE-2024-2434 „hoch“, CVE-2024-2829 „hoch“) ausführen oder Sicherheitsmaßnahmen (CVE-2024-4006 "mittel", CVE-2024-1347 "mittel") umgehen.
Derzeit gibt es noch keine Berichte zu Attacken. GitLab Inc. legt Nutzern dennoch eine zeitnahe Aktualisierung nahe.
(des)
