Obwohl seit dem 18. November ein größeres PostgreSQL-Sicherheitsproblem bekannt ist, spielt GitLab die entsprechenden Patches nicht ein. Eine der Lücken erlaubt es unprivilegierten Angreifern, willkürlich Code in der Datenbank auszuführen.
Anzeige
Postgres stuft dieses Sicherheitsloch CVE-2024-10979 mit 8,8 von 10 auf der CVSS-3.0-Skala ein. User ohne Administratorrechte können Systemvariablen ändern, beispielsweise PATH, und darüber beliebigen Code ausführen.
Postgres hat die Lücken bereits mit einem Update gefixt und empfiehlt, die Versionen 12.21, 13.17, 14.14, 15.9, 16.5 und 17.1 sofort einzuspielen. Wie bereits im März wiesen Leser uns darauf hin, dass GitLab nach wie vor an den alten, gefährdeten Versionen 14.11 und 16.4 festhält und die Updates verzögert.
Die Redaktion hat GitLab um eine Stellungnahme gebeten. Sie hat noch nicht unmittelbar darauf antworten können.
(
Kommentare