GitLab flickt kritischen Fehler
GitLab hat eine weitere Runde von Updates veröffentlicht, um Sicherheitslücken in seiner Softwareentwicklungsplattform zu schließen. Darunter befindet sich ein kritischer Fehler, der es einem Angreifer ermöglicht, Pipeline-Jobs als beliebiger Benutzer auszuführen.
Die kritische GitLab-Sicherheitslücke wird als CVE-2024-6385 verfolgt und hat einen CVSS-Score von 9,6 von maximal 10,0. „In GitLab CE/EE wurde ein Problem entdeckt, das Versionen 15.8 bis 16.11.6, 17.0 bis 17.0.4 und 17.1 bis 17.1.2 betrifft und es einem Angreifer unter bestimmten Umständen ermöglicht, als unbekannter Benutzer eine Pipeline zu starten“, erklärte das Unternehmen jetzt in einer Mitteilung. Das Unternehmen hat Ende letzten Monats einen ähnlichen Fehler (CVE-2024-5655, CVSS-Score: 9,6) behoben, der ebenfalls ausgenutzt werden konnte, um Pipelines als fremder Benutzer auszuführen.
GitLab hat auch ein mittelschweres Problem (CVE-2024-5257, CVSS-Score: 4,9) behoben, das es einem Benutzer mit Entwicklerrechten und admin_compliance_framework-Berechtigungen ermöglicht, die URL eines Gruppennamensraums zu ändern.
Alle Sicherheitslücken wurden in den Versionen 17.1.2, 17.0.4 und 16.11.6 der GitLab Community Edition (CE) und Enterprise Edition (EE) gepatcht.
Die Veröffentlichung erfolgt, während Citrix Updates für eine kritische Authentifizierungs-Sicherheitslücke in NetScaler Console (ehemals NetScaler ADM), NetScaler SDX und NetScaler Agent (CVE-2024-6235, CVSS-Score: 9.4) herausgegeben hat, die zu Informationslecks führen könnte.
Broadcom hat ebenfalls Patches für zwei mittelschwere Injection-Sicherheitslücken in VMware Cloud Director (CVE-2024-22277, CVSS-Score: 6.4) und VMware Aria Automation (CVE-2024-22280, CVSS-Score: 8.5) veröffentlicht. Diese Lücken könnten ausgenutzt werden, um mittels speziell gestalteter HTML-Tags bzw. SQL-Abfragen schädlichen Code auszuführen.
CISA veröffentlicht Bulletins zur Bekämpfung von Software-Schwachstellen
Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) und das Federal Bureau of Investigation (FBI) haben ein neues Bulletin herausgegeben, das Technologiehersteller auffordert, Betriebssystem-Kommandoinjektionslücken in Software zu beseitigen. Diese Schwachstellen ermöglichen es Bedrohungsakteuren, Code aus der Ferne auf Netzwerkgeräten auszuführen.
Solche Schwachstellen entstehen, wenn Benutzereingaben nicht ausreichend geprüft werden, wodurch Angreifer beliebige Befehle einschleusen können, die zur Verbreitung von Malware oder zum Diebstahl von Informationen führen. „OS-Kommandoinjektionslücken lassen sich seit langem verhindern, indem Benutzereingaben klar von den Befehlen getrennt werden,“ erklärten die Behörden. „Trotzdem sind OS-Kommandoinjektionslücken immer noch weit verbreitet. Viele davon resultieren aus der fehlenden Neutralisierung spezieller Elemente, die in einem Betriebssystembefehl verwendet werden (CWE-78).“
CISA und FBI haben seit Anfang des Jahres bereits drei Warnung dieser Art herausgegeben, das aktuelle Bulletin inklusive. Zuvor wurden im März und Mai 2024 zwei andere Warnungen zur Beseitigung von SQL-Injection (SQLi) und Pfad-/Directory-übergreifender Schwachstellen veröffentlicht.
Im vergangenen Monat brachte CISA zusammen mit den Cybersicherheitsbehörden aus Kanada und Neuseeland eine Anleitung heraus, die Unternehmen empfiehlt, robustere Sicherheitslösungen wie Zero Trust, Secure Service Edge (SSE) und Secure Access Service Edge (SASE) zu implementieren, die eine bessere Sichtbarkeit der Netzwerkaktivitäten bieten. „Durch die Verwendung risikobasierter Zugriffskontrollrichtlinien, die Entscheidungen über Policy-Engines liefern, integrieren diese Lösungen Sicherheit und Zugriffskontrolle. Nutzbarkeit und Sicherheit einer Organisation werden so durch adaptive Richtlinien gestärkt“, so die Behörden.
Weitere Artikel zum Thema: