Gitlab liefert Patches für eine Sicherheitslücke, die über mehrere Versionen hinweg eine Privilege Escalation erlaubte.
Die Lücke unter dem CVE-2016-4340 steckt im Personifizierungs-Feature von Gitlab. Das sollte es für Administratoren ermöglichen, sich als Simulation in den Rollen beliebiger Nutzer einzuloggen. Man ahnt es schon, das Feature war nicht sicher genug implementiert. Tatsächlich erlaubte es Gitlab daher jedem Nutzer, sei der Admin oder nicht, sich als jeder andere Nutzer anzumelden.
Nun hat Gitlab diese “bisher schwerwiegendste Lücke” laut einem Blogpost für mehrere Versionen der Software gepatcht und empfiehlt nachdrücklich, die Patches so schnell wie möglich einzuspielen. Diese funktionieren für die Versionen 8.2.0 bis 8.7.0.
Wer aus welchen Gründen auch immer gerade nicht zu einem Upgrade kommt, kann die Zeit dahin mit einem Workaround überbrücken. Dazu gilt es, abhängig von der Installationsart, in die Webserver-Konfigurationen von Nginx und Apache Zeilen einzufügen, die der Blogpost auflistet. Auch das HA-Setup sollte der Admin entsprechend justieren.






