Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

GitLab < 10.0.7 CE GitLab < 10.0.7 EE GitLab < 10.1.5 CE GitLab < 10.1.5 EE GitLab < 10.2.4 CE GitLab < 10.2.4 EE Betroffene Plattformen: Apple macOS GNU/Linux Microsoft Windows Eine Schwachstelle in GitLab ermöglicht einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen über private Projekte. Mehrere weitere Schwachstellen ermöglichen einem entfernten, einfach authentisierten Angreifer einen Cross-Site-Scripting (XSS)-Angriff, das Ausspähen von Informationen und die Eskalation von Privilegien. Der Hersteller stellt GitLab 10.2.4, 10.1.5 und 10.0.6 als Sicherheitsupdates für die GitLab Community Edition (CE) und die Enterprise Edition (EE) zur Verfügung. Patch: GitLab 10.2.4, 10.1.5, 10.0.7 Release Notes https://about.gitlab.com/2017/12/08/gitlab-10-dot-2-dot-4-security-release/

GITLAB-CE-ISSUE-40706: Schwachstelle in GitLab ermöglicht
Cross-Site-Scripting-Angriff

Skript-Programmcode in Kommentaren zu GitLab-Issues wird ungeprüft
interpretiert und ausgeführt, wenn der Kommentar editiert wird. Ein
entfernter, einfach authentisierter Angreifer mit der Berechtigung,
Kommentare zu Issues zu verfassen, kann einen Cross-Site-Scripting
(XSS)-Angriff gegen Benutzer von GitLab ausführen, indem er
Skript-Programmcode in einen Issue-Kommentar injiziert und einen Benutzer
der Software dazu verleitet, diesen Kommentar zu editieren.

GITLAB-CE-ISSUE-39134: Schwachstelle in GitLab ermöglicht Ausspähen von
Informationen

Über die Gruppen-Programmschnittstelle (Groups API) kann ein entfernter,
nicht authentisierter Angreifer Informationen über private Projekte
erhalten.

GITLAB-CE-ISSUE-36679: Schwachstelle in GitLab ermöglicht Ausspähen von
Informationen

Ein entfernter, einfach authentisierter Angreifer kann auf private
Wiki-Seiten in GitLab-Projekten zugreifen, auch wenn er die entsprechende
Berechtigung nicht hat. Die Schwachstelle liegt in einer fehlerhaften
Berechtigungsprüfung begründet.

GITLAB-CE-ISSUE-34910: Schwachstelle in GitLab ermöglicht Ausspähen von
Informationen

Über das Mitglieder-Suchfeld lassen sich die vollständigen Email-Adressen
von Benutzern erraten (Brute-Force-Angriff), da die
Autovervollständigungsfunktion auch auf Email-Adressen angewendet werden
kann. Ein entfernter, einfach authentisierter Angreifer kann diese
Informationen ausspähen, indem er Benutzer zu einem Projekt hinzufügt, von
denen er nur Teile der Email-Adresse kennt oder rät.

GITLAB-CE-ISSUE-30663: Schwachstelle in GitLab ermöglicht Eskalation von
Privilegien

Über die Programmschnittstelle (API) zur Erstellung von
Problembeschreibungen (Issues) kann ein entfernter, einfach authentisierter
Angreifer auch dann Issues anlegen, wenn diese Funktionalität deaktiviert
oder einem eingeschränkten Benutzerkreis vorenthalten ist, zu dem der
Angreifer nicht gehört.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2236/

GitLab 10.2.4, 10.1.5, 10.0.7 Release Notes:
https://about.gitlab.com/2017/12/08/gitlab-10-dot-2-dot-4-security-release/

GitLab CE Issue #30663: User is able to bypass project issues permissions to
create new issues from the api:
https://gitlab.com/gitlab-org/gitlab-ce/issues/30663

GitLab CE Issue #34910: E-mail address disclosure through member search fields:
https://gitlab.com/gitlab-org/gitlab-ce/issues/34910

GitLab CE Issue #36679: Logged in user may see the wiki’s start page on the
projects homepage even if he is not allowed to see the wiki:
https://gitlab.com/gitlab-org/gitlab-ce/issues/36679

GitLab CE Issue #39134: Groups API leaks private projects:
https://gitlab.com/gitlab-org/gitlab-ce/issues/39134

GitLab CE Issue #40706: Cross-Site Scripting when editing a comment:
https://gitlab.com/gitlab-org/gitlab-ce/issues/40706

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.