GitLab verhelpt reeks kwetsbaarheden in Community en Enterprise Edition

GitLab patcht meerdere lekken, waaronder XSS via developer-rechten en gebrekkige autorisatie in GraphQL. Update naar 18.11.7, 19.0.4 of 19.1.2.

GitLab heeft meerdere kwetsbaarheden gedicht in zowel de Enterprise Edition als de Community Edition. De problemen zitten in een breed scala aan versies, van 9.1 tot vóór 18.11.7, 19.0 tot vóór 19.0.4 en 19.1 tot vóór 19.1.2. Het NCSC bracht er een advisory over uit.

De vervelendste vondst is een cross-site-scriptinglek: gebruikers met developer-rechten kunnen kwaadaardige scripts laten uitvoeren in de browser van andere gebruikers doordat invoer onvoldoende wordt opgeschoond. In een omgeving met veel externe of tijdelijke ontwikkelaars is dat een reëel risico.

Daarnaast verhelpt GitLab onder meer:

  • gebrekkige autorisatiecontroles in GraphQL-operaties, waardoor gebruikers met auditor-rechten compliance-registraties konden aanpassen;
  • een fout waardoor repositories konden verschillen tussen wat de webinterface toont en wat er daadwerkelijk wordt gedownload, via onjuiste verwerking van Git reference names;
  • het ongeautoriseerd kunnen ontdekken van private projecten door onbevoegde gebruikers.

Zelfgehoste GitLab-servers zijn een aantrekkelijk doelwit: ze bevatten broncode, CI/CD-secrets en deploy-tokens. Beheerders van een eigen GitLab-installatie doen er goed aan bij de eerstvolgende gelegenheid te updaten naar 18.11.7, 19.0.4 of 19.1.2. Wie GitLab.com gebruikt hoeft niets te doen; die omgeving draait al op gepatchte versies.

Bron: NCSC-NL Advisories

📬

Wekelijkse security-update in je inbox

Elke week de belangrijkste dreigingen, kwetsbaarheden en tips — gratis, geen spam.

Bij 2.400+ security-professionals. Afmelden kan altijd.