Sicherheitslücken: GitLab-Entwickler raten zu zügigem Update
close notice
This article is also available in
English.
It was translated with technical assistance and editorially reviewed before publication.
.
Um GitLab-Instanzen gegen mögliche Angriffe zu schützen, sollten Admins die verfügbaren Sicherheitspatches zeitnah installieren. Geschieht das nicht, können Angreifer an sieben Sicherheitslücken ansetzen.
Weiterlesen nach der Anzeige
In einer Warnmeldung versichern die Entwickler, dass sie die Schwachstellen in den Versionen 18.3.5, 18.4.3 und 18.5.1 von GitLab Community Edition (CE) und Enterprise Edition (EE) geschlossen haben. Auf GitLab.com sollen bereits die abgesicherten Ausgaben laufen. Auch wenn es bislang keine Berichte zu Attacken gibt, raten die Entwickler dringend, die Patches so schnell wie möglich zu installieren.
Verschiedene Gefahren
Drei Lücken (CVE-2025-11702, CVE-2025-10497, CVE-2025-11447) sind mit dem Bedrohungsgrad „hoch“ eingestuft. Setzen authentifizierte Angreifer mit bestimmten Rechten an der ersten Schwachstelle erfolgreich an, können sie die Kontrolle über Project Runner erhalten. Dabei handelt es sich um ein Helferlein, das im Kontext von Softwareprojekten CI-Jobs ausführt. In den beiden anderen Fällen sind ohne Authentifizierung DoS-Attacken möglich, was in der Regel zu Abstürzen führt. Diese drei Lücken wurden über das Bug-Bounty-Programm HackerOne gemeldet.
In den verbleibenden Fällen können Angreifer unter anderem unrechtmäßig auf bestimmte Bereiche zugreifen und so etwa Softwareprojekte einsehen. Diese Lücken sind mit dem Bedrohungsgrad „mittel“ und „niedrig“ versehen.
Neben dem Lösen von Sicherheitsproblemen haben die Entwickler in den aktuellen Ausgaben eigenen Angaben zufolge noch verschiedene Bugs aus der Welt geschafft.
Zuletzt gab es im September Sicherheitsupdates für GitLab, um mehrere DoS-Sicherheitslücken zu schließen.
EU-Parlament macht Vorschläge für mehr digitale Souveränität
„Die Europäische Union ist von ausländischen Technologien abhängig, was erhebliche Risiken für sie birgt“, heißt es in einem Bericht, den das Europäische Parlament am Donnerstag mit großer Mehrheit angenommen hat. Einige wenige Unternehmen verfügten über eine „konzentrierte Macht“ über wichtige digitale Märkte. Außerdem hätten sie die Kontrolle über die Infrastruktur: Betriebssysteme, künstliche Intelligenz, Suchmaschinen, Zahlungsdienste, Werbung und soziale Medien.
„Die jüngsten geopolitischen Spannungen zeigen, dass die Frage der digitalen Souveränität Europas von enormer Bedeutung ist“, schreibt der liberale Abgeordnete Michał Kobosko in einem Post auf X. Die EU sei aufgrund der Abhängigkeiten gleich mehreren Bedrohungen ausgesetzt: der Erpressung durch die USA, der Spionage durch China, der Sabotage durch Russland oder Störungen in den Lieferketten.
Daher wendet sich das Parlament mit einer Reihe von Forderungen und Ideen an die Kommission und die Mitgliedstaaten. Erstens soll die Kommission die Abhängigkeiten Europas in der digitalen Infrastruktur ermitteln und die Risiken bewerten. Auf Grundlage einer solchen Bestandsaufnahme könnten dann die notwendigen Maßnahmen koordiniert werden.
Bevorzugte Vergabe an EU-Unternehmen
Zweitens wünschen sich die Abgeordneten die Möglichkeit, manche öffentliche Aufträge exklusiv an souveräne europäische Unternehmen vergeben zu können. Unternehmen aus Drittstaaten würden dann ausgeschlossen werden. Solche Mechanismen gebe es etwa in China oder den USA, aber noch nicht in der EU, betonen die Abgeordneten.
Die Reform des Vergaberechts ist ohnehin für das zweite Quartal dieses Jahres geplant, wie im Arbeitsprogramm der Kommission für 2026 abzulesen ist. Die Präsidentin der Kommission, Ursula von der Leyen, hat schon mehrfach versprochen, dass die Reform auch die Bevorzugung von europäischen Unternehmen in „bestimmten strategischen Sektoren“ ermöglichen wird. Bei ihrer Rede zur „Lage der Union“ im September 2025 erklärte sie, das Kriterium „Made in Europe“ einführen zu wollen.
Drittens machen die Abgeordneten auf die besonders gravierenden Abhängigkeiten im Cloud-Bereich aufmerksam. Die Daten würden „zum Großteil“ außerhalb des EU-Gebiets gespeichert und gehostet. Daher verlangen sie eine Definition der souveränen Cloud in der Verordnung über Cloud- und KI-Entwicklung, die die Kommission am 25. März vorstellen will.
Wir sind ein spendenfinanziertes Medium
Unterstütze auch Du unsere Arbeit mit einer Spende.
Cloud-Daten vor Zugriff schützen
Außerdem wollen sie strengere Regeln für sensible Daten etablieren. Im europäischen System für die Cybersicherheitszertifizierung von Cloud-Diensten (EUCS), über das noch beraten wird, werde nicht ausreichend garantiert, dass Hosting-Anbieter nicht außereuropäischen Rechtsvorschriften unterliegen. Insbesondere der Cloud Act der USA dürfte hier gemeint sein. Der verpflichtet US-Unternehmen, Behörden aus den USA Zugriff auf von ihnen verarbeitete Daten zu gewähren, selbst wenn die Speicherorte außerhalb der Vereinigten Staaten liegen.
Im Bericht erwähnen die Abgeordneten auch die Wichtigkeit von „offenen und interoperablen Lösungen“, die ebenfalls durch die öffentliche Vergabe gefördert werden könnten. Insgesamt sprechen sie sich für Strategien wie Open Source als erste Wahl und „Öffentliches Geld – öffentlicher Code“ (Public Money, Public Code) aus. Dieser Grundsatz besagt, dass aus öffentlichem Geld finanzierte Software standardmäßig unter einer Open-Source-Lizenz veröffentlicht werden sollte.
Verurteilung von US-Druck
Durch einen Änderungsantrag der liberalen Renew-Fraktion hat es darüber hinaus ein weiterer Punkt in den Bericht geschafft: Die EU müsse auch bei der Durchsetzung ihrer Regulierung souverän bleiben, heißt es dort.
Damit reagieren die Abgeordneten auf die von den USA im Dezember verhängten Reiseverbote gegen Vertreter:innen der Zivilgesellschaft, darunter HateAid, und den ehemaligen Digitalkommissar Thierry Breton. Das Parlament fordert die Aufhebung dieser Verbote und eine „entschlossene“ Reaktion der Kommission und der Mitgliedstaaten auf diese „beispiellosen Angriffe“.
Der Bericht wurde im Sommer 2025 durch den Industrieausschuss (ITRE) erarbeitet. Die zuständige Berichterstatterin, die Abgeordnete Sarah Knafo, ist Teil der rechtsextremen ESN-Fraktion. Bei der Abstimmung in Straßburg wurde der Text mit 471 zu 68 Stimmen bei 71 Enthaltungen angenommen. Dagegen stimmten Mitglieder der Fraktionen der Linken und der rechtsextremen sogenannten „Patrioten für Europa“ (PfE).
Sicherheitsupdate GitLab: Angreifer können Zwei-Faktor-Authentifizierung umgehen
GitLab ist über fünf Softwareschwachstellen angreifbar. Nach erfolgreichen Attacken kann es zu Abstürzen kommen oder Angreifer hebeln die Zwei-Faktor-Authentifizierung (2FA) aus.
Weiterlesen nach der Anzeige
Diverse Gefahren
In einer Warnmeldung versichern die Entwickler, dass auf GitLab.com bereits abgesicherte Ausgaben laufen. Admins, die die Softwareentwicklungsumgebung selbst hosten, müssen die reparierten Versionen Community Edition (CE) und Enterprise Edition (EE) 18.8.2, 18.7.2 oder 18.6.4 installieren.
Darin haben die Entwickler insgesamt fünf Sicherheitslücken geschlossen. Davon sind drei mit dem Bedrohungsgrad „hoch“ eingestuft (CVE-2025-13927, CVE-2025-13928, CVE-2026-0723). Über die ersten beiden Schwachstellen können Angreifer DoS-Zustände und somit Abstürze auslösen. Verfügt ein Angreifer über eine Credential ID eines Nutzers, kann er mit präparierten Anfragen die 2FA aushebeln.
Die GitLab-Entwickler raten zu einem zügigen Update.
Auf in eine amerikanische Zukunft: Skulptur mit dem TikTok-Logo in Shanghai. – Alle Rechte vorbehalten IMAGO / CFOTO
Die chinesische Firma ByteDance hat einen Großteil des US-Geschäfts ihrer Video-App TikTok verkauft. Sie behält 19,9 Prozent der Anteile, der Rest geht an ein internationales Konsortium. Die größten Investoren darin sind mit jeweils 15 Prozent ein Staatskonzern der Vereinigten Arabischen Emirate, die US-Investmentfirma Silver Lake und der Cloud-Dienst-Anbieter Oracle. Dessen Gründer Larry Ellison ist ein alter Trump-Vertrauter.
Die US-Version der App soll künftig auf Oracle-Servern laufen. Oracle wird auch dafür verantwortlich sein, die Einhaltung nationaler Sicherheitsstandards zu überwachen und den Algorithmus anzupassen, über den personalisierte Inhalte gesteuert werden. Der Plan ist, eine Kopie des Codes, den ByteDance entwickelt hat, mit den Daten von US-Bürger*innen zu trainieren.
Verkauf auf Druck der US-Regierung
TikTok ist mit dem Verkauf einem Verbot entgangen, das die US-Regierung angedroht hatte. Die sah die Gefahr, dass der chinesische Staat über die App die Meinung von US-Amerikaner*innen manipulieren könnte und deren Daten abgreifen. 2024 verabschiedete sie ein Gesetz, nach dem ByteDance seine US-Geschäfte verkaufen musste, sonst wäre TikTok aus den App-Stores von Apple und Google verbannt worden. Donald Trump hatte einst auf das Verbot gedrängt, nach einem scheinbaren Sinneswandel dem Unternehmen dann aber immer wieder mehr Zeit gegeben, um eine einvernehmliche Lösung zur weitgehend Abspaltung des US-Geschäfts zu finden.
Nun rückt TikTok ein gutes Stück weg von der chinesischen Regierung – hin zur amerikanischen. Donald Trump hat dann nicht mehr nur sein eigenes Soziales Netzwerk Truth Social, sowie Einfluss auf die Plattformen seiner Kumpels Elon Musk (X) und Mark Zuckerberg (Facebook, Instagram), sondern über Larry Ellison auch einen kurzen Draht zu TikTok. Der Oracle-Gründer ist der fünftreichste Menschen der Welt, vier Plätze nach Musk, einer vor Zuckerberg.
![Neu in .NET 10.0 [7]: Semi-Auto Properties in C# 14.0](https://i2.wp.com/heise.cloudimg.io/bound/1200x1200/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/5/0/1/5/0/0/2/csharp_sign-880ad48e29751852.jpg?w=400&resize=400,240&ssl=1 "Neu in .NET 10.0 [7]: Semi-Auto Properties in C# 14.0")
![Neu in .NET 10.0 [7]: Semi-Auto Properties in C# 14.0](https://i2.wp.com/heise.cloudimg.io/bound/1200x1200/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/5/0/1/5/0/0/2/csharp_sign-880ad48e29751852.jpg?w=80&resize=80,80&ssl=1 "Neu in .NET 10.0 [7]: Semi-Auto Properties in C# 14.0")
