Mit einem Notfall-Update außer der Reihe stopfen die Gitlab-Entwickler mehrere Sicherheitslücken, von denen ein kritisches Leck Angreifern erlauben könnte, Nutzerkonten zu übernehmen. Die Gitlab-Macher empfehlen Administratoren und Nutzern, zügig die aktualisierten Versionen herunterzuladen und zu installieren. Bei dem Software-as-a-Service (SaaS)-Angebot mit Projekthosting hat das Projekt als Sicherheitsmaßnahme zudem alle Passwörter zurückgesetzt. Die neuen Versionen schließen insgesamt 17 Sicherheitslücken, von denen die Entwickler eine als kritisches Risiko einstufen, zwei als hohes, neun als mittleres und fünf als eine Bedrohung mit niedrigem Risiko. Die Fehler finden sich sowohl in der Community Edition als auch in der Enterprise Edition. Die schwerwiegendste Schwachstelle trat bei der Verwendung der OmniAuth-Registrierung auf, also mit einer Art Single-Sign-On-System basierend etwa auf OAuth, LDAP oder SAML. Für derart angelegte Konten wurde ein hartkodiertes Passwort vergeben, wodurch Angreifern eine Kontoübernahme möglich wurde (CVE-2022-1162, CVSS 9.1, Risiko kritisch). Auf gitlab.com, also der SaaS-Version, haben die Projektbetreuer die Passwörter ausgewählter Konten deshalb als Sicherheitsmaßnahme zurückgesetzt. Bei der Untersuchung haben sie keine Anzeichen dafür gefunden, dass die Lücke bereits missbraucht wurde. Zudem hätten Angreifer in den Notizen HTML-Code durch sogenanntes Stored Cross-Site-Scripting einschleusen können aufgrund nicht ausreichender Filterung von Nutzereingaben ( CVE-2022-1175, CVSS 8.7, hoch). Eine ebensolche Lücke fand sich in den Multi-Wort-Referenzen zu Milestones in den Issue-Beschreibungen, Kommentaren und so weiter (CVE-2022-1190, CVSS 8.7, hoch). Die in neuer Fassung mitgelieferten Versionen von commonmarker, Devise, go-proxyproto, Grafana, Mattermost, Python und Swagger sollen ebenfalls Sicherheitslücken abdichten. Die Releasenotes von Gitlab listen Details auch zu den weiteren Sicherheitsupdates und eine einzelne nicht-sicherheitsrelevante Aktualisierung auf. Mit den neuen Versionen 14.7.7, 14.8.5 und 14.9.2 beheben die Gitlab-Entwickler die Sicherheitslücken. Auf dem SaaS-Angebot von gitlab.com befinden sich die Server bereits auf dem neuen Software-Stand. Vorbereitete Container sowie Quelltexte mit Anleitungen und Hinweisen finden Administratoren auf der Update-Seite von Gitlab. Damit Angreifer die kritische Sicherheitslücke und auch die anderen Schwachstellen nicht ausnutzen können, sollten IT-Verantwortliche die Aktualisierung zeitnah installieren. In der Vergangenheit waren Administratoren damit deutlich zu zögerlich.