Gitlab hat Patches für mehrere Sicherheitslücken bereitgestellt. Eine davon erreicht mit einem CVSS von 10 den maximal möglichen Schweregrad.



Für die Community- und Enterprise-Edition von Gitlab stehen neue Sicherheitsupdates bereit, die teils kritische Schwachstellen beheben, von denen eine sogar die Übernahme fremder Benutzerkonten ohne jegliche Nutzerinteraktion ermöglicht. Der Anbieter der Quellcodeverwaltungssoftware empfiehlt Administratoren, ihre Gitlab-Instanzen dringend zu aktualisieren. Wer den Dienst über gitlab.com nutze, sei bereits geschützt.

Ganz besonders hebt Gitlab in seiner Mitteilung die als CVE-2023-7028 registrierte und mit einem maximal möglichen CVSS von 10 als kritisch bewertete Sicherheitslücke hervor. Damit sei es Angreifern möglich, Benutzerpasswörter über eine nicht verifizierte E-Mail-Adresse zurückzusetzen und somit die Konten anderer Nutzer vollständig zu übernehmen.

Betroffen seien folgenden Gitlab-Versionen:

• 16.1 bis 16.1.5 (gepatcht durch 16.1.6)
  
• 16.2 bis 16.2.8 (gepatcht durch 16.2.9)
  
• 16.3 bis 16.3.6 (gepatcht durch 16.3.7)
  
• 16.4 bis 16.4.4 (gepatcht durch 16.4.5)
  
• 16.5 bis 16.5.5 (gepatcht durch 16.5.6)
  
• 16.6 bis 16.6.3 (gepatcht durch 16.6.4)
  
• 16.7 bis 16.7.1 (gepatcht durch 16.7.2)