Informationssicherheit

Sicherheitslücke in Gitlab - Patches verfügbar!

Übernahme fremder Konten ohne Nutzerinteraktion möglich

Gitlab hat Patches für mehrere Sicherheitslücken bereitgestellt. Eine davon erreicht mit einem CVSS von 10 den maximal möglichen Schweregrad.

Für die Community- und Enterprise-Edition von Gitlab stehen neue Sicherheitsupdates bereit, die teils kritische Schwachstellen beheben, von denen eine sogar die Übernahme fremder Benutzerkonten ohne jegliche Nutzerinteraktion ermöglicht. Der Anbieter der Quellcodeverwaltungssoftware empfiehlt Administratoren, ihre Gitlab-Instanzen dringend zu aktualisieren. Wer den Dienst über gitlab.com nutze, sei bereits geschützt.

Ganz besonders hebt Gitlab in seiner Mitteilung die als CVE-2023-7028 registrierte und mit einem maximal möglichen CVSS von 10 als kritisch bewertete Sicherheitslücke hervor. Damit sei es Angreifern möglich, Benutzerpasswörter über eine nicht verifizierte E-Mail-Adresse zurückzusetzen und somit die Konten anderer Nutzer vollständig zu übernehmen

Betroffen seien sämtliche Authentifizierungsverfahren der folgenden Gitlab-Versionen:

  • 16.1 bis 16.1.5 (gepatcht durch 16.1.6)
  • 16.2 bis 16.2.8 (gepatcht durch 16.2.9)
  • 16.3 bis 16.3.6 (gepatcht durch 16.3.7)
  • 16.4 bis 16.4.4 (gepatcht durch 16.4.5)
  • 16.5 bis 16.5.5 (gepatcht durch 16.5.6)
  • 16.6 bis 16.6.3 (gepatcht durch 16.6.4)
  • 16.7 bis 16.7.1 (gepatcht durch 16.7.2)

Aktive 2FA schützt vor Kontoübernahme

Bei Nutzern mit aktiver Zwei-Faktor-Authentifizierung (2FA) sei die Passwortänderung durch einen Angreifer zwar ebenfalls möglich, nicht jedoch die Übernahme des Accounts. Entsprechend lautet auch die Empfehlung: Die 2FA sollte idealerweise für alle Gitlab-Konten aktiviert werden, insbesondere jedoch für jene mit erweiterten Zugriffsrechten.

Entstanden ist die Sicherheitslücke wohl schon am 1. Mai 2023 mit der Veröffentlichung der Gitlab-Version 16.1.0. Ihr unter dem Pseudonym asterion04 genannter Entdecker hatte die Schwachstelle der Mitteilung zufolge über das Hackerone-Bug-Bounty-Programm von Gitlab gemeldet.

Ausnutzung lässt sich prüfen

Administratoren, die überprüfen wollen, ob CVE-2023-7028 auf ihrer Instanz bereits aktiv ausgenutzt wurde, empfiehlt Gitlab einen Blick in die Protokolle gitlab-rails/production_json.log und gitlab-rails/audit_json.log. Details zu den dort zu erwartenden Auffälligkeiten sind der Mitteilung des Anbieters zu entnehmen.

Zu den weiteren behobenen Schwachstellen zählt CVE-2023-5356, die mit einem CVSS von 9,6 ebenfalls als kritisch eingestuft ist. Ein Angreifer könne die Slack/Mattermost-Integrationen missbrauchen, um Slash-Befehle als ein anderer Benutzer auszuführen, erklärt Gitlab diesbezüglich. Darüber hinaus hat das Unternehmen noch CVE-2023-4812, CVE-2023-6955 und CVE-2023-2030 gepatcht – mit unterschiedlichen Schweregraden von niedrig bis hoch.

Gefunden auf: https://www.golem.de/news/gitlab-uebernahme-fremder-konten-ohne-nutzerinteraktion-moeglich-2401-181149.html