Kritische Gitlab-Schwachstelle wird aktiv ausgenutzt
Die Schwachstelle ermöglicht es Angreifern, beliebige Nutzerpasswörter über eine eigene E-Mail-Adresse zurückzusetzen. Tausende von Gitlab-Instanzen sind gefährdet.
Gitlab: Übernahme fremder Konten ohne Nutzerinteraktion möglich
13. Januar 2024, 14:27 |
0 KommentareGitlab hat Patches für mehrere Sicherheitslücken bereitgestellt. Eine davon erreicht mit einem CVSS von 10 den maximal möglichen Schweregrad.
Für die Community- und Enterprise-Edition von Gitlab stehen neue Sicherheitsupdates bereit, die teils kritische Schwachstellen beheben, von denen eine sogar die Übernahme fremder Benutzerkonten ohne jegliche Nutzerinteraktion ermöglicht. Der Anbieter der Quellcodeverwaltungssoftware empfiehlt Administratoren, ihre Gitlab-Instanzen dringend zu aktualisieren. Wer den Dienst über gitlab.com nutze, sei bereits geschützt.
Ganz besonders hebt Gitlab in seiner Mitteilung die als CVE-2023-7028 registrierte und mit einem maximal möglichen CVSS von 10 als kritisch bewertete Sicherheitslücke hervor. Damit sei es Angreifern möglich, Benutzerpasswörter über eine nicht verifizierte E-Mail-Adresse zurückzusetzen und somit die Konten anderer Nutzer vollständig zu übernehmen.
Betroffen seien folgenden Gitlab-Versionen:
- 16.1 bis 16.1.5 (gepatcht durch 16.1.6)
- 16.2 bis 16.2.8 (gepatcht durch 16.2.9)
- 16.3 bis 16.3.6 (gepatcht durch 16.3.7)
- 16.4 bis 16.4.4 (gepatcht durch 16.4.5)
- 16.5 bis 16.5.5 (gepatcht durch 16.5.6)
- 16.6 bis 16.6.3 (gepatcht durch 16.6.4)
- 16.7 bis 16.7.1 (gepatcht durch 16.7.2)
Mehr dazu findest Du auf golem.de
Kurze URL:
Das könnte Dich auch interessieren:
Kritische Gitlab-Schwachstelle wird aktiv ausgenutzt
Die Schwachstelle ermöglicht es Angreifern, beliebige Nutzerpasswörter über eine eigene E-Mail-Adresse zurückzusetzen. Tausende von Gitlab-Instanzen sind gefährdet.
Gitlab soll Löschung inaktiver Projekte planen
Der Code-Hoster Gitlab will einem Medienbericht zufolge Geld sparen und Projekte löschen, die länger als ein Jahr nicht genutzt wurden.
Ähnliche News:
Gitlab-Instanzen für 1 TBit/s-DDoS missbraucht
Antirassismus: Python- und Gitlab-Entwickler streichen "Master"-Begriff
Gitlab testet Mitarbeiter mit Phishing-Angriff – ein Fünftel fällt herein
Gitlab wirbt für Umzug von Github weg
Antirassismus: Python- und Gitlab-Entwickler streichen "Master"-Begriff
Gitlab testet Mitarbeiter mit Phishing-Angriff – ein Fünftel fällt herein
Gitlab wirbt für Umzug von Github weg
Weitere News:
Knapp vor 100.000 Dollar: Bitcoin weiter auf Rekordjagd
Microsoft: Flight Simulator 2024 wird "Größtenteils negativ" bewertet
Wegen Sicherheitslücke: D-Link drängt auf Entsorgung älterer Router
US-Regierung will Chrome vom Rest des Konzerns abspalten
Windows 11: Lautstärke unerwartet voll aufgedreht
Restore Credentials: Nahtloser App-Wechsel auf neuen Android-Geräten möglich
Windows 10: Microsoft nervt Nutzer mit Vollbildwerbung für Copilot+-PCs
Nvidia wächst rasant und Aktie fällt
Über Spotify wird nun auch raubkopierte Software verteilt
Ist SpaceX verrückt geworden? Warum Starships Fracht eine einzelne Banane war
Microsoft: Flight Simulator 2024 wird "Größtenteils negativ" bewertet
Wegen Sicherheitslücke: D-Link drängt auf Entsorgung älterer Router
US-Regierung will Chrome vom Rest des Konzerns abspalten
Windows 11: Lautstärke unerwartet voll aufgedreht
Restore Credentials: Nahtloser App-Wechsel auf neuen Android-Geräten möglich
Windows 10: Microsoft nervt Nutzer mit Vollbildwerbung für Copilot+-PCs
Nvidia wächst rasant und Aktie fällt
Über Spotify wird nun auch raubkopierte Software verteilt
Ist SpaceX verrückt geworden? Warum Starships Fracht eine einzelne Banane war
Einen Kommentar schreiben
Kommentare
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
(0)
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
Kommentare:
Du hast bereits für diesen
Kommentar abgestimmt...
;-)
© by Ress Design Group, 2001 - 2024
