Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (04.06.18):
Neues Advisory

Eine Schwachstelle in der Bibliothek ‘libgit2’ in der Komponente ‘bump’ in
GitLab ermöglicht einem entfernten, nicht authentisierten Angreifer die
Ausführung beliebigen Programmcodes.

GitLab stellt die Version 10.8.3 in der Community Edition (CE) und der
Enterprise Edition (EE) zur Behebung der Schwachstelle zur Verfügung. Das
als Patchrelease bezeichnete Update beinhaltet eine Reihe weiterer nicht
sicherheitsrelevanter Aktualisierungen. Die Behebung der Schwachstelle
bezieht sich im Gegensatz zum vorangegangenen Sicherheitsupdate auf Version
10.8.2 nicht auf die Kernkomponente, sondern auf die Komponente ‘bump’, die
hiermit auf Version 0.27.1 aktualisiert wird. Es ist unklar, ob die
unterstützten Versionszweige 10.7 und 10.6 ebenfalls eine anfällige Version
von ‘bump’ nutzen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-1056]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html