Mehrere Software-Schwachstellen bedrohen die Community Edition und die Enterprise Edition von Gitlab.
Die Gitlab-Entwickler empfehlen, die aktuellen Sicherheitspatches für Gitlab Community Edition (CE) und Enterprise Edition (EE) für selbst gehostete Instanzen zeitnah zu installieren. Geschieht das nicht, können Angreifer an mehreren Lücken ansetzen und sich unter anderem Zugriff auf eigentlich abgeschottete Bereiche des Entwicklungsservers verschaffen. Gitlab.com ist ihnen zufolge bereits abgesichert.

Mehrere Sicherheitsrisiken

Insgesamt haben die Entwickler einer Warnmeldung zufolge in den aktuellen Versionen 17.3.7, 17.4.4 und 17.5.2 sechs Sicherheitslücken geschlossen. Bis auf eine Schwachstelle sind alle Lücken mit dem Bedrohungsgrad “mittel” eingestuft.

Sind Attacken erfolgreich, können sich Angreifer unter anderem Zugriff auf den Kubernetes Cluster Agent verschaffen (CVE-2024-9693 “hoch”). Unbefugte Zugriffe sind auch über OAuth möglich (CVE-2024-7404 “mittel”). Über weitere Lücken können noch Informationen leaken (CVE-2024-10240 “mittel). Außerdem sind DoS-Attacken vorstellbar (noch keine CVE-Nummer zugeteilt).

Bislang gibt es noch keine Berichte, dass Angreifer bereits Lücken ausnutzen. Leider geben die Entwickler Nutzern keine Orientierungspunkte, an denen bereits erfolgte Attacken erkennbar sind.