Sicherheit bei Benutzerkonten von GitLab gefährdet Massive Schwachstellen bei GitLab
Anbieter zum Thema
Angreifer können durch Cross-Site-Scripting komplette Benutzerkonten bei GitLab übernehmen. Admins sollten schnellstmöglich die notwendigen Updates installieren.
(Bild: knowhowfootage - stock.adobe.com)
Die Lücke CVE-2024-4835 im Web-Quell-Editor von GitLab ermöglicht es Angreifern über Cross-Site-Scripting-Angriffe komplette Benutzerkonten und damit auch Server zu übernehmen. Neben dieser, schwerwiegenden Lücke schließen aktuelle Updates auch andere Schwachstellen, die Angriffe erlauben.
Updates schließen Schwachstellen bei GitLab
Die neuen Versionen 17.0.1, 16.11.3 und 16.10.6 für GitLab Community Edition (CE) und Enterprise Edition (EE) wurden bereits veröffentlicht. Die Plattform GitLab.com verwendet schon die neuesten Versionen.
Die wichtigsten Sicherheitskorrekturen im aktuellen Release umfassen verschiedene Schwachstellen. Eine 1-Klick-Kontoübernahme durch Cross-Site Scripting (XSS) im VS Code Editor (Web IDE) wurde behoben. Diese Lücke betraf GitLab-Versionen vor 16.10.6, 16.11.3 und 17.0.1 und ermöglichte es Angreifern, sensible Benutzerdaten zu exfiltrieren. Diese hochgradige Sicherheitslücke wurde als CVE-2024-4835 klassifiziert und nun behoben.
Eine Denial-of-Service (DoS) Schwachstelle im 'description'-Feld des Runners betraf alle GitLab-Versionen bis 16.10.6, 16.11.3 und 17.0.1. Ein speziell gestalteter Runner konnte das Laden von GitLab-Webressourcen stören. Diese Sicherheitslücke wurde als CVE-2024-2874 definiert.
Eine CSRF-Schwachstelle über die Kubernetes-Cluster-Integration betraf GitLab-Versionen bis 16.10.6, 16.11.3 und 17.0.1. Angreifer konnten Anti-CSRF-Tokens über den Kubernetes Agent Server (KAS) exfiltrieren. Diese mittlere Sicherheitslücke wurde als CVE-2023-7045 klassifiziert und behoben.
Ein Fehler in der Set Pipeline Status API führte dazu, dass bei GitLab-Versionen bis 16.10.6, 16.11.3 und 17.0.1 ein neuer Pipeline-Prozess unberechtigterweise erstellt werden konnte. Diese mittlere Sicherheitslücke wurde als CVE-2024-5258 eingestuft und nun behoben.
Eine DoS-Bedingung durch die Wiki-Render-API betraf alle GitLab-Versionen vor 16.10.6, 16.11.3 und 17.0.1. Angreifer konnten durch manipulierte Wiki-Seiten eine Dienstblockade verursachen. Diese mittlere Sicherheitslücke wurde als CVE-2023-6502 definiert und behoben.
Ein Problem mit Ressourcenerschöpfung und DoS durch test_report API-Aufrufe betraf GitLab-Versionen bis 16.10.6, 16.11.3 und 17.0.1. Angreifer konnten durch manipulierte API-Aufrufe eine Dienstblockade verursachen. Diese mittlere Sicherheitslücke wurde als CVE-2024-1947 klassifiziert und behoben.
Eine Schwachstelle ermöglichte es Gastbenutzern, die Abhängigkeitslisten privater Projekte über Job-Artefakte einzusehen. Diese Sicherheitslücke betraf alle GitLab-Versionen vor 16.10.6, 16.11.3 und 17.0.1 und wurde als CVE-2024-5318 eingestuft und nun behoben.
Zusätzlich wurde eine Stored-XSS-Schwachstelle in PDF.js behoben. Diese Lücke wurde als CVE-2024-4367 definiert.
Ebenfalls wurde Mattermost auf Version 9.7.2 aktualisiert, die mehrere Patches und Sicherheitskorrekturen enthält. Es ist essenziell, dass alle betroffenen GitLab-Installationen sofort auf die neuesten Versionen aktualisiert werden, um die beschriebenen Sicherheitsrisiken zu minimieren und eine sichere Umgebung zu gewährleisten.
(ID:50046103)
Artikel von & Weiterlesen ( GitLab Sicherheitsupdates: CVE-2024-4835 Cross-Site-Scripting Lücke behoben - Security-Insider )https://ift.tt/Cqt7bdU
Wissenschaft & Technik
Bagikan Berita Ini
0 Response to "GitLab Sicherheitsupdates: CVE-2024-4835 Cross-Site-Scripting Lücke behoben - Security-Insider"
Post a Comment