De volgende informatie betreft recent verholpen kwetsbaarheden in GitLab Community Edition (CE) en Enterprise Edition (EE), zoals beschreven door het Nederlandse Nationaal Cyber Security Centrum (NCSC).

Samenvatting van de Kwetsbaarheden

Recent zijn er meerdere kwetsbaarheden in GitLab CE/EE (versies 14.1 tot 17.8.2) aangepakt. Deze beveiligingslekken omvatten onder andere:

1. Onjuiste Autorisatie: Toegangskwesties waarbij gebruikers mogelijk meer rechten kunnen krijgen dan bedoeld.
2. Kruisscriptskwetsbaarheden (XSS): Problemen met de neutralisatie van invoer die leiden tot de mogelijkheid voor aanvallers om kwaadaardige scripts uit te voeren.
3. Denial-of-Service (DoS): Fouten die kunnen zorgen voor verstoring van de diensten.
4. Externe Service Interactie: Kwetsbaarheden die misbruik mogelijk maken door het betrekken van externe services.
5. Onbevoegde Toegang tot Systemen: Blootstelling van gevoelige systeeminformatie aan onbevoegde partijen.
6. Gebrek aan Sessie-expiratie: Sessies die te lang actief blijven, waardoor er risico op misbruik is.

Omschrijving van de Problemen

GitLab kampt met diverse beveiligingslekken, waaronder het risico van denial-of-service aanvallen en de mogelijkheid voor niet-geautoriseerde gebruikers om toegang te krijgen tot gevoelige informatie. Deze kwetsbaarheden geven aanvallers de kans om diensten te verstoren en gevoelige data prijs te geven.

Reikwijdte

De kwetsbaarheden zijn van toepassing op de volgende GitLab producten:

• GitLab Community Edition (Open Source)
• GitLab Enterprise Edition

Oplossingen

GitLab heeft updates uitgebracht om deze beveiligingsproblemen aan te pakken. Gebruikers worden sterk aangeraden om hun systemen te updaten naar de nieuwste versies. Voor meer informatie over de updates en hoe deze te implementeren, kunt u de GitLab release notes raadplegen via deze link.

CVE Referenties

De kwetsbaarheden zijn gedetailleerd gedocumenteerd onder verschillende CVE-registraties, waaronder:

• CVE-2024-3303
• CVE-2024-9870
• CVE-2024-12379
• En anderen voor het jaar 2025.

Belangrijk

Het is belangrijk te vermelden dat, hoewel het NCSC zorgvuldig is in het samenstellen van deze advisories, zij geen aansprakelijkheid aanvaarden voor de nauwkeurigheid of volledigheid van de verstrekte informatie. Alle gebruik dient te geschieden in het kader van professionele bedoelingen en op eigen risico, in overeenstemming met de Nederlandse wetgeving.

Door bewust te zijn van deze kwetsbaarheden en tijdig updates te installeren, kunnen gebruikers van GitLab hun systemen beschermen tegen potentieel misbruik en beveiligingsrisico’s minimaliseren.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----