Die GitLab-Versionen 16.11.1, 16.10.4 und 16.9.6 für die GitLab Community Edition (CE) und Enterprise Edition (EE) enthalten wichtige Fehlerbehebungen und Sicherheitspatches. Auf GitLab.com laufe bereits die gepatchte Version, teilt der Anbieter mit.
„Wir empfehlen dringend, dass alle Installationen mit einer Version, die von den unten beschriebenen Problemen betroffen ist, so bald wie möglich auf die neueste Version aktualisiert werden“, mahnen die Entwickler. Drei kritische Sicherheitslecks sind unter anderem der Grund dafür. Besonders das Problem, dass die Übernahme eines GitLab-Kontos unter bestimmten Bedingungen möglich ist, wenn Bitbucket als OAuth-Anbieter verwendet wird, ist gravierend (CVE-2024-4024). Alle Versionen ab 7.8 und vor 16.9.6, alle Versionen ab 16.10 und vor 16.10.4 und alle Versionen ab 16.11 und vor 16.11.1 seien betroffen, heißt es in der Warnmeldung. Unter bestimmten Bedingungen könne ein Angreifer mit seinen Bitbucket-Konto-Anmeldeinformationen ein GitLab-Konto übernehmen, das mit dem Bitbucket-Konto eines anderen Benutzers verknüpft sei, wenn Bitbucket als OAuth 2.0-Anbieter auf GitLab verwendet werde.
Inzwischen habe man die Art und Weise geändert, wie die Bitbucket-Authentifizierung mit GitLab funktioniert, heißt es bei GitLab. Informationen, was Anwender nun beachten müssen, sind in der Warnmeldung zur Lücke enthalten.
