GitLab, eine beliebte Plattform für Softwareentwicklung und Versionskontrolle, hat ein Sicherheitsupdate veröffentlicht, das mehr als fünfzehn Sicherheitsanfälligkeiten in der Community Edition (CE) und der Enterprise Edition (EE) seines Entwicklungsservers schließt. Diese Schwachstellen ermöglichten es Angreifern, schädlichen Code einzuschleusen, Konten anderer Nutzer zu übernehmen und den Server funktionsunfähig zu machen. Administratoren selbst gehosteter Instanzen sind aufgefordert, sofort zu patchen, während Cloud-Kunden oder Nutzer, die ihre Instanz von GitLab administrieren lassen, nicht betroffen sind.
In der aktuellen Meldung werden mehrere kritische und hochpriorisierte Sicherheitslücken behandelt. Besonders hervorzuheben ist eine kritische Schwachstelle (CVE-2024-6678, CVSS 9,9), die es Angreifern unter bestimmten Bedingungen ermöglichte, Pipelines im Namen beliebiger Nutzer auszuführen. Eine weitere bedeutende Lücke betrifft die unzureichende Filterung von YAML-Daten (CVE-2024-8640, CVSS 8,5), die als Einfallstor für Code-Injection-Angriffe dienen könnte. Außerdem wurde eine Denial-of-Service-Anfälligkeit (CVE-2024-8124, CVSS 7,5) behoben, die durch übergroße externe Parameter verursacht wurde. Zusätzlich wurden Sicherheitsanfälligkeiten mittlerer und niedriger Priorität adressiert.
Die aktuellen Versionen, die diese Sicherheitsprobleme beheben, sind 17.3.2, 17.2.5 und 17.1.7, jeweils für die entsprechenden Versionsbäume von GitLab CE und EE. GitLab ist bekannt für seine umfassenden Funktionen zur Unterstützung des gesamten Softwareentwicklungsprozesses, einschließlich Versionskontrolle, CI/CD (Continuous Integration/Continuous Deployment) und Projektmanagement.
