CSW-Nr. 2024-205245-1032, Version 1.0, 15.01.2024
Am 11. Januar gab GitLab ein wichtiges Sicherheitshinweis heraus, das entscheidende Schwachstellen in der GitLab Community Edition (CE) und Enterprise Edition (EE) hervorhebt. Eine der gravierendsten Sicherheitsrisiken ist die Lücke, bekannt als CVE-2023-7028. Diese Schwachstelle ermöglicht es Angreifern, Konten ohne vorherige Authentifizierung zu übernehmen. Aufgrund der Schwere wurde sie mit dem maximalen CVSS-Score von 10.0, also als „kritisch“, eingestuft.
Angreifer können durch Ausnutzung dieser Schwachstelle die Passwörter zurücksetzen, indem sie unverifizierte E-Mail-Adressen verwenden, und dadurch Zugang zu Benutzerkonten erlangen, insbesondere wenn keine Zwei-Faktor-Authentifizierung eingerichtet ist.
Kürzlich wurden Proof-of-Concepts veröffentlicht, die das einfache Ausnutzen dieser Schwachstelle aufzeigen. Daher muss von bereits stattfindenden Angriffen ausgegangen werden. Nutzer von GitLab CE und EE sollten unverzüglich Maßnahmen ergreifen, um ihre Systeme zu schützen und die Sicherheitsupdates zu implementieren.
Betroffen sind die selbst-gehosteten GitLab Versionen:
- 16.1 – 16.1.5
- 16.2 – 16.2.8
- 16.3 – 16.3.6
- 16.4 – 16.4.4
- 16.5 – 16.5.5
- 16.6 – 16.6.3
- 16.7 – 16.7.1