{"uuid": "c8bc1abc-bbad-475b-9202-c93e1ec0cb0c", "vulnerability_lookup_origin": "1a89b78e-f703-45f3-bb86-59eb712668bd", "author": "9f56dd64-161d-43a6-b9c3-555944290a09", "vulnerability": "CVE-2023-2825", "type": "seen", "source": "https://t.me/Netzwerksicherheit/163", "content": "Kritische Sicherheitsl\u00fccke mit H\u00f6chstwertung bedroht GitLab\n\nEs gibt eine wichtiges Sicherheitsupdate f\u00fcr die Versionsverwaltung GitLab. Entwickler sollten jetzt reagieren. \n\nEntwickler, die bei der Softwareerstellung die Versionsverwaltung GitLab einsetzen, sollten die Software zeitnah auf den aktuellen Stand bringen. Andernfalls k\u00f6nnten Angreifer unbefugt auf Daten zugreifen.\n\nIn einer Warnmeldung raten die GitLab-Entwickler das Sicherheitsupdate so schnell wie m\u00f6glich zu installieren. Ob bereits Attacken laufen, ist derzeit nicht bekannt. Die Sicherheitsl\u00fccke mit maximaler CVSS-Einstufung 10 von 10 (CVE-2023-2825 \"kritisch\") soll ausschlie\u00dflich die Version 16.0.0 von GitLab Community Edition (CE) und Enterprise Edition (EE) betreffen. J\u00fcngere Ausgaben sollen davon nicht betroffen sein.\nDatenleak-L\u00fccke\n\nDie Voraussetzung f\u00fcr Attacken ist, dass ein Anhang in einem \u00f6ffentlichen Projekt vorhanden ist, der in mindestens f\u00fcnf Gruppen verschachtelt ist. In einem solchen Fall soll ein Angreifer ohne Authentifizierung an der Path-Traversal-Schwachstelle ansetzen k\u00f6nnen. Wie eine Attacke konkret ablaufen k\u00f6nnte, ist derzeit nicht bekannt. Bei erfolgreichen Angriffen k\u00f6nnen unter anderem Softwarecode und Zugangsdaten leaken.\n\nDie Entwickler geben an, das Sicherheitsproblem in der Version 16.0.1 gel\u00f6st zu haben.\n\nQuelle\n\n_\nIT Sicherheit @Netzwerksicherheit\n...IT f\u00fcr Nutzeraufkl\u00e4rung und -sicherheit", "creation_timestamp": "2023-05-26T16:18:58.000000Z"}