Die DevOps-Plattform GitLab hat Software-Updates veröffentlicht, um eine kritische Sicherheitslücke zu schließen, die es einem Angreifer ermöglichen könnte, die Kontrolle über Konten zu übernehmen, wenn sie ausgenutzt wird.
Die Schwachstelle mit der Bezeichnung CVE-2022-1162 hat einen CVSS-Score von 9.1 und soll intern vom GitLab-Team entdeckt worden sein.
„In den GitLab CE/EE-Versionen 14.7 (vor 14.7.7), 14.8 (vor 14.8.5) und 14.9 (vor 14.9.2) wurde für Konten, die über einen OmniAuth-Provider (z. B. OAuth, LDAP, SAML) registriert wurden, ein fest kodiertes Passwort festgelegt, das es Angreifern ermöglicht, die Kontrolle über Konten zu übernehmen“, so das Unternehmen in einem am 31. März veröffentlichten Advisory.
GitLab hat den Fehler mit den neuesten Versionen 14.9.2, 14.8.5 und 14.7.7 für die GitLab Community Edition (CE) und die Enterprise Edition (EE) behoben und erklärt, dass es das Passwort einer unbestimmten Anzahl von Nutzern aus reiner Vorsicht zurückgesetzt hat.
„Unsere Untersuchung ergab keine Hinweise darauf, dass Nutzer oder Konten kompromittiert wurden“, heißt es weiter.
Das Unternehmen hat außerdem ein Skript veröffentlicht, das Administratoren von selbstverwalteten Instanzen ausführen können, um Konten ausfindig zu machen, die möglicherweise von CVE-2022-1162 betroffen sind. Nachdem die betroffenen Konten identifiziert wurden, wird ein Passwort-Reset empfohlen.
Im Rahmen des Sicherheitsupdates behebt GitLab außerdem zwei hochgradig schwerwiegende gespeicherte Cross-Site-Scripting (XSS)-Fehler (CVE-2022-1175 und CVE-2022-1190) sowie neun mittelschwere und fünf niedrig eingestufte Schwachstellen.
Da einige der Probleme kritisch sind, wird Nutzern mit betroffenen Installationen dringend empfohlen, so schnell wie möglich auf die neueste Version zu aktualisieren.