Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (29.10.18):
Neues Advisory

Eine Schwachstelle in GitLab ermöglicht einem entfernten, vermutlich einfach
authentisierten Angreifer die Ausführung beliebigen Programmcodes. Mehrere
weitere Schwachstellen ermöglichen einem entfernten, zumeist einfach
authentisierten Angreifer das Ausspähen von Informationen. Weitere
Schwachstellen ermöglichen dem Angreifer die Manipulation von Dateien,
verschiedene Cross-Site-Scripting (XSS)-Angriffe, das Umgehen von
Sicherheitsvorkehrungen sowie einen ‘Server-Side-Request-Forgery’
(SSRF)-Angriff.

Mehrere Schwachstellen in Redis, welches von GitLab genutzt wird,
ermöglichen einem entfernten, einfach authentisierten Angreifer die
Ausführung von verschiedenen Denial-of-Service (DoS)-Angriffen.

Zwei Schwachstellen in Ruby, welches von GitLab über Ruby on Rails genutzt
wird, ermöglichen einem entfernten, nicht authentisierten Angreifer das
Umgehen von Sicherheitsvorkehrungen sowie die Darstellung falscher
Informationen.

GitLab stellt die Versionen 11.2.7, 11.3.8 und 11.4.3 für die Community
Edition (CE) und die Enterprise Edition (EE) bereit. Weitere Informationen
zu den Schwachstellen werden laut Hersteller in etwa 30 Tagen
veröffentlicht. Die neuen Versionen der Software nutzen jetzt Ruby 2.4.5 und
Redis 3.2.12.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-2194]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html