Am 11. Januar 2024 veröffentlichte GitLab, ein führender Anbieter einer Plattform zur Verwaltung von Softwareentwicklung, ein wichtiges Sicherheitsupdate, um erkannte Sicherheitslücken zu schließen.
Die Schwachstellen wurden von der GitLab-Community entdeckt, die dem Unternehmen dabei half, Fehler in Bezug auf Authentifizierungsmechanismen, Autorisierungsprüfungen in Slack/Mattermost, die Erstellung von Arbeitsbereichen außerhalb der nativen Umgebung, die Änderung von Metadaten in Commits und die Umgehung der Genehmigung durch CODEOWNERS zu beheben.
In den Versionen 16.1 bis 16.7.2 wurden Probleme mit allen Authentifizierungsmechanismen festgestellt: Sogar Benutzer mit Zwei-Faktor-Authentifizierung waren auf einer bestimmten Ebene anfällig. Das Unternehmen empfahl, die genannte Versionsreihe zu aktualisieren und die Zwei-Faktor-Authentifizierung für alle Konten zu aktivieren.
Von Version 8.13 bis 16.7.2 konnten Benutzer aufgrund einer schlecht funktionierenden Authentifizierung Befehle im Namen anderer Benutzer in Slack und Mattermost ausführen. Ebenso war es bis Version 16.7.2 möglich, Arbeitsbereiche in einer Gruppe zu erstellen, der sie nicht angehörten. Dies führte zu einem separaten Sicherheitsproblem bei der Verwendung von GitLab.
Ab Version 12.2 wurden die Metadaten von signierten Commits aufgrund einer fehlerhaften Überprüfung der Checkout-Signatur verändert. Ab Version 15.3 und einschließlich Version 16.7.2 gab es auch eine Möglichkeit, die Genehmigung von CODEOWNERS zu umgehen.
Alle oben genannten Schwachstellen können größtenteils durch ein Upgrade auf eine neuere Version von GitLab behoben werden. GitLab empfiehlt jedoch auch, die Zwei-Faktor-Authentifizierung (2FA) für alle GitLab-Konten zu aktivieren, alle Geheimnisse, die beschädigt werden könnten, neu zu installieren und die Repositorys auf nicht autorisierte Änderungen zu überprüfen.
