Mit Updates der Versionsverwaltung Gitlab auf die Versionen 15.0.1, 14.10.4 und 14.9.5 schließen die Entwickler Sicherheitslücken in der Community Edition (CE) und der Enterprise Edition (EE).
Bei den insgesamt acht Sicherheitsproblemen, die mit den Updates behoben werden, ist das Risiko einer Lücke mit kritisch bewertet. Über sie ist es unter Umständen möglich, eine Kontoübernahme durch eine SCIM-E-Mail-Änderung zu schaffen. Wenn SAML SSO für Gruppen konfiguriert sei, könne die SCIM-Funktion (System for Cross-domain Identity Management), die nur bei Premium+-Abonnements verfügbar sei, es Besitzern einer Premium-Gruppe ermöglichen, beliebige Benutzer über ihren Benutzernamen und ihre E-Mail-Adresse einzuladen. Es sei dann möglich, die E-Mail-Adressen dieser Benutzer über SCIM in eine von einem Angreifer kontrollierte E-Mail-Adresse zu ändern und so – bei fehlender Zweifaktor-Authentifizierung, diese Konten zu übernehmen.
Bei den weiteren Sicherheitslücken sind zwei mit hohem Risiko behaftet, vier mit mittlerem und eine mit niedrigem Risiko. Gitlab fordert die Nutzer auf, die gepatchten Versionen einzuspielen.
