Koelman.IT

Stay Hungry, Stay Foolish 💡


Beveiligingsadvies NCSC-2025-0100 [1.00] [M/H] Kwetsbaarheden verholpen in GitLab EE/CE

Overzicht van Herstelde Kwetsbaarheden in GitLab EE/CE

Samenvatting

Deze mededeling geeft een overzicht van de recent verholpen beveiligingsproblemen in GitLab EE/CE, met de nadruk op het belang van het updaten van systemen om veiligheidsrisico’s te minimaliseren. De adviezen zijn gebaseerd op de officiële PGP-ondertekende versies. Houd er rekening mee dat er informatie verloren kan gaan bij de automatische omzetting naar HTML.

Beveiligingsproblemen en Oplossingen

GitLab heeft maatregelen genomen om meerdere veiligheidsproblemen op te lossen in de versies van 13.5.0 tot 17.10.1. Hier volgt een gedetailleerd overzicht:

  • Problemen Verholpen:
    • Onjuiste Autorisatie: Beperkt de mogelijkheden voor gebruikers om ongeautoriseerde toegang te verkrijgen.
    • Cross-site Scripting (XSS): Beveiligt tegen willekeurige scripts die binnen een gebruikerssessie kunnen worden uitgevoerd.
    • Command Injection: Voorkomt de injectie van malafide code in CLI-opdrachten.

Deze kwetsbaarheden kunnen leiden tot ernstigere veiligheidsrisico’s, zoals ongeautoriseerde toegang en het in gevaar brengen van de systeemintegriteit en gebruikersrechten.

Beoordeling van de Kwetsbaarheden

  • Kans op Exploitatie: Medium
  • Potentiële Schade: Hoog

Het belang van het direct installeren van de beschikbare updates kan niet worden onderschat, gezien de aard en potentiële impact van deze kwetsbaarheden.

Bereik en Platforms

  • Gerichte Platforms: Open Source GitLab
  • Betrokken Versies: Versies 13.5.0 tot en met 17.10.1

Aanbevolen Acties

GitLab heeft beveiligingsupdates vrijgegeven om de beschreven kwetsbaarheden te verhelpen. Het is raadzaam om deze updates zo snel mogelijk te installeren. Zie de volgende link voor meer informatie over de updates: GitLab Update.

Betrokken CVE’s

De volgende CVE-identificatoren zijn toegewezen aan de relevante kwetsbaarheden:

Door gebruik te maken van dit beveiligingsadvies gaat u akkoord met de voorwaarden van het NCSC. Hoewel we de grootst mogelijke zorg hebben besteed aan de samenstelling van dit document, kunnen we de volledigheid, juistheid of actualiteit ervan niet garanderen. Deze informatie is bedoeld voor professionele doeleinden. Het NCSC en de Staat zijn niet aansprakelijk voor schade voortvloeiend uit het gebruik of de onmogelijkheid tot gebruik van dit advies. Nederlands recht is van toepassing en geschillen worden voorgelegd aan de rechtbank in Den Haag.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----