Sicherheitslücken: GitLab-Entwickler raten zu zügigem Update

Um GitLab-Instanzen gegen mögliche Angriffe zu schützen, sollten Admins die verfügbaren Sicherheitspatches zeitnah installieren. Geschieht das nicht, können Angreifer an sieben Sicherheitslücken ansetzen.

In einer Warnmeldung versichern die Entwickler, dass sie die Schwachstellen in den Versionen 18.3.5, 18.4.3 und 18.5.1 von GitLab Community Edition (CE) und Enterprise Edition (EE) geschlossen haben. Auf GitLab.com sollen bereits die abgesicherten Ausgaben laufen. Auch wenn es bislang keine Berichte zu Attacken gibt, raten die Entwickler dringend, die Patches so schnell wie möglich zu installieren.

Verschiedene Gefahren

Drei Lücken (CVE-2025-11702, CVE-2025-10497, CVE-2025-11447) sind mit dem Bedrohungsgrad „hoch“ eingestuft. Setzen authentifizierte Angreifer mit bestimmten Rechten an der ersten Schwachstelle erfolgreich an, können sie die Kontrolle über Project Runner erhalten. Dabei handelt es sich um ein Helferlein, das im Kontext von Softwareprojekten CI-Jobs ausführt. In den beiden anderen Fällen sind ohne Authentifizierung DoS-Attacken möglich, was in der Regel zu Abstürzen führt. Diese drei Lücken wurden über das Bug-Bounty-Programm HackerOne gemeldet.

In den verbleibenden Fällen können Angreifer unter anderem unrechtmäßig auf bestimmte Bereiche zugreifen und so etwa Softwareprojekte einsehen. Diese Lücken sind mit dem Bedrohungsgrad „mittel“ und „niedrig“ versehen.

Neben dem Lösen von Sicherheitsproblemen haben die Entwickler in den aktuellen Ausgaben eigenen Angaben zufolge noch verschiedene Bugs aus der Welt geschafft.

Zuletzt gab es im September Sicherheitsupdates für GitLab, um mehrere DoS-Sicherheitslücken zu schließen.

(des)