Kritische Gitlab-Schwachstelle wird aktiv ausgenutzt
Die Schwachstelle ermöglicht es Angreifern, beliebige Nutzerpasswörter über eine eigene E-Mail-Adresse zurückzusetzen. Tausende von Gitlab-Instanzen sind gefährdet.
schaf am 13. Januar 2024 um 14:27 | 
0 Kommentare | Lesezeit: 50 SekundenGitlab: Übernahme fremder Konten ohne Nutzerinteraktion möglich
Gitlab hat Patches für mehrere Sicherheitslücken bereitgestellt. Eine davon erreicht mit einem CVSS von 10 den maximal möglichen Schweregrad.
Für die Community- und Enterprise-Edition von Gitlab stehen neue Sicherheitsupdates bereit, die teils kritische Schwachstellen beheben, von denen eine sogar die Übernahme fremder Benutzerkonten ohne jegliche Nutzerinteraktion ermöglicht. Der Anbieter der Quellcodeverwaltungssoftware empfiehlt Administratoren, ihre Gitlab-Instanzen dringend zu aktualisieren. Wer den Dienst über gitlab.com nutze, sei bereits geschützt.
Ganz besonders hebt Gitlab in seiner Mitteilung die als CVE-2023-7028 registrierte und mit einem maximal möglichen CVSS von 10 als kritisch bewertete Sicherheitslücke hervor. Damit sei es Angreifern möglich, Benutzerpasswörter über eine nicht verifizierte E-Mail-Adresse zurückzusetzen und somit die Konten anderer Nutzer vollständig zu übernehmen.
Betroffen seien folgenden Gitlab-Versionen:
- 16.1 bis 16.1.5 (gepatcht durch 16.1.6)
- 16.2 bis 16.2.8 (gepatcht durch 16.2.9)
- 16.3 bis 16.3.6 (gepatcht durch 16.3.7)
- 16.4 bis 16.4.4 (gepatcht durch 16.4.5)
- 16.5 bis 16.5.5 (gepatcht durch 16.5.6)
- 16.6 bis 16.6.3 (gepatcht durch 16.6.4)
- 16.7 bis 16.7.1 (gepatcht durch 16.7.2)
Mehr dazu findest Du auf golem.de
Kurze URL:
Das könnte Dich auch interessieren:
Kritische Gitlab-Schwachstelle wird aktiv ausgenutzt
Die Schwachstelle ermöglicht es Angreifern, beliebige Nutzerpasswörter über eine eigene E-Mail-Adresse zurückzusetzen. Tausende von Gitlab-Instanzen sind gefährdet.
Gitlab soll Löschung inaktiver Projekte planen
Der Code-Hoster Gitlab will einem Medienbericht zufolge Geld sparen und Projekte löschen, die länger als ein Jahr nicht genutzt wurden.
Ähnliche News:
Gitlab-Instanzen für 1 TBit/s-DDoS missbraucht
Antirassismus: Python- und Gitlab-Entwickler streichen "Master"-Begriff
Gitlab testet Mitarbeiter mit Phishing-Angriff – ein Fünftel fällt herein
Gitlab wirbt für Umzug von Github weg
Antirassismus: Python- und Gitlab-Entwickler streichen "Master"-Begriff
Gitlab testet Mitarbeiter mit Phishing-Angriff – ein Fünftel fällt herein
Gitlab wirbt für Umzug von Github weg
Weitere News:
Apple entschuldigt sich für Werbespot
Microsoft will KI-Prompts mit Copilot-Update vereinfachen
Neuralink räumt Problem mit implantiertem Gehirn-Chip ein
Dell markiert Beschäftigte farblich nach ihrer Anwesenheit
Das 25 Jahre alte Nokia 3210 ist zurück
Milliardenpleite: E-Autobauer Fisker Austria meldet Insolvenz an
Erneuerbare Energien machen 30 Prozent des weltweiten Strommix aus
US-Regierung will Huawei an weiteren Chipkäufen hindern
Amazons neue Lieferdrohnen haben ein Hitzeproblem
EU-Kommission treibt Verfahren gegen Online-Plattform X voran
Microsoft will KI-Prompts mit Copilot-Update vereinfachen
Neuralink räumt Problem mit implantiertem Gehirn-Chip ein
Dell markiert Beschäftigte farblich nach ihrer Anwesenheit
Das 25 Jahre alte Nokia 3210 ist zurück
Milliardenpleite: E-Autobauer Fisker Austria meldet Insolvenz an
Erneuerbare Energien machen 30 Prozent des weltweiten Strommix aus
US-Regierung will Huawei an weiteren Chipkäufen hindern
Amazons neue Lieferdrohnen haben ein Hitzeproblem
EU-Kommission treibt Verfahren gegen Online-Plattform X voran
Einen Kommentar schreiben
Kommentare
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
(0)
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
Kommentare:
Du hast bereits für diesen
Kommentar angestimmt...
;-)
© by Ress Design Group, 2001 - 2024
