In der Versionsverwaltung GitLab wurde eine kritische Sicherheitslücke mit der Höchstwertung geschlossen. Entwickler, die GitLab einsetzen, sollten die Software zeitnah auf den aktuellen Stand bringen. Angreifer könnten andernfalls unbefugt auf Daten zugreifen.

Die GitLab-Entwickler raten in einer Warnmeldung, dass das Sicherheitsupdate so schnell wie möglich installiert werden sollte. Derzeit ist nicht bekannt, ob die Lücke bereits aktiv ausgenutzt wird. Ausschließlich die Version 16.0.0 von GitLab Community Edition (CE) und Enterprise Edition (EE) soll von der Sicherheitslücke mit maximaler CVSS-Einstufung 10 von 10 (CVE-2023-2825 "kritisch") betroffen sein. Jüngere Ausgaben sollen hingegen nicht betroffen sein.

Ein Anhang in einem öffentlichen Projekt, der in mindestens fünf Gruppen verschachtelt ist, soll Voraussetzung für Attacken sein. Angreifer sollen in einem solchen Fall ohne Authentifizierung an der Path-Traversal-Schwachstelle ansetzen können. Genauere Details zum Ablauf einer Attacke sind derzeit nicht bekannt. Unter anderem können bei erfolgreichen Angriffen Softwarecode und Zugangsdaten abgegriffen werden.

Laut den Entwicklern soll das Sicherheitsproblem in der Version 16.0.1 behoben sein.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE