Open Source im professionellen Einsatz

Gitlab stopft Directory-Traversal-Lücke

03.11.2016

Gitlab veröffentlicht eine Reihe neuer Versionen ihrer Software, um einen wichtigen Security-Bug zu beheben. Der tritt beim Re-Import von Projekten auf.

174

Seit Gitlab 8.9 ist es normalen Gitlab-Anwendern möglich, Projekte zu exportieren und anschließend als Tar-Archive (Tape Archive File) wieder zu importieren. Dabei haben die Entwickler allerdings ungewollt ein Einfallstor für Schadcode hinterlassen, dass das CVE-2016-9086 nun verewigt. Jobert Abma von der Bug-Bounty-Plattform Hackerone.com hat die Verwundbarkeit laut der Gitlab-Ankündigung aufgespürt.

Das neue Feature prüft nämlich nicht, ob sich in den zurück importierten Archiven symbolische Links befinden. Diese können auf sämtliche Orte verweisen, auf die der User über den Gitlab-Service-Account Zugriff hat. Dazu gehören auch geheime Tokens zur User-Authentifizierung. Vor Version 8.13.0 durften nur Admins dieses Feature verwenden, die ja ohnehin Zugang zu sämtlichen Informationen erhalten.

Die neuen Versionen 8.13.3, 8.12.8, 8.11.10 und 8.10.13 reparieren das Problem sowohl in der Community- als auch in der Enterprise-Ausgabe von Gitlab. Das Unternehmen rät zu baldigen Updates. Für die ältere Version 8.9.x gibt es hingegen kein Patch, hier raten die Gitlab-Betreiber zu einem Workaround, das der Blogeintrag ebenfalls verlinkt. Er besteht im wesentlichen darin, das Feature zu deaktivieren.

Ähnliche Artikel

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.