Gitlab warnt vor einer kritischen Sicherheitslücke und fordert die Anwender nachdrücklich zum sofortigen Update auf. Betroffen sind die Enterprise-Versionen des Repository- und DevOp-Diensts von 13.12 bis 16.2.6 respektive die Releases 16.3. bis 16.3.3. Versionen vor 16.2. sind nur dann gefährdet, wenn die Funktionen „Direct transfers“ und „Security policies“ gleichzeitig aktiviert sind. Bei diesen Versionen können Nutzer sich schützen, indem sie eine der beiden Optionen ausschalten. Die Updates auf Gitlab 16.3.4 und 16.2.7 dichten die Schwachstellen ab – hoffentlich vollständig. Über die Lücke mit Nummer CVE-2023-5009 sind wenige Details bekannt, es handelt sich jedoch um eine Umgehung der Fehlerkorrekturen für die Schwachstelle mit dem CVE-Eintrag CVE-2023-3932 – diese hatte mit einem CVSS-Wert von 5.3 lediglich einen mittleren Bedrohungsgrad. Kurz gesagt: Angreifer sind durch das Sicherheitsleck in der Lage, Git-Pipeline-Jobs als beliebiger Anwender über geplante Sicherheits-Scans auszuführen. Die Gitlab-Entwickler stufen das Risiko der Lücke mit einem CVSS-Wert von 9.8 als kritisch ein. Bei der Lücke handelt es sich um eine ungenügende Zugriffskontrolle (Improper Access Control), mit der Common-Weakness-Enumeration-Nummer CWE-284. Das heißt, Angreifer können sich höhere Privilegien aneignen, auf sensible Daten zugreifen und Kommandos ausführen. Der IT-Sicherheitsforscher Johan Carlsson mit dem Handle joaxcar hat das Sicherheitsproblem entdeckt, auf der Bug-Bounty-Plattform Hacker One gemeldet und sich 29.000 US-Dollar Belohnung einstreichen können. Gitlab korrigiert mit den Updates zudem eine Reihe kleinerer Bugs. Zuletzt hatte Gitlab im Mai eine Sicherheitslücke gestopft. Durch die Schwachstelle hätte es zum Datenleck kommen können.
