GitLab fixt PostgreSQL-Lücke nicht: Angreifer können Admin-Rechte erlangen

Obwohl die kritische Sicherheitslücke in PostgreSQL seit dem 12. Februar 2024 bekannt ist, hat GitLab immer noch kein Sicherheits-Update auf Basis von PostgreSQL-Patches eingespielt. Die Lücke ermöglicht es Angreifern, Code mit privilegierter Berechtigung auszuführen.

Bereits am 8. Februar hatte PostgreSQL vor einer Sicherheitslücke gewarnt, die es Angreifern erlaubt, Usern mit höheren Rechten beliebigen SQL-Code unterzuschieben und über einen Refresh-Befehl auszuführen. Der Hersteller stuft das Risiko als hoch ein (Stufe 8 von 10). Gleichzeitig mit der Warnung hat PostgreSQL Patches für seine verschiedenen Versionen veröffentlicht: 12.18, 13.14, 14.11 und 15.6.

Leser hatten die iX-Redaktion darauf aufmerksam gemacht, dass GitLab bislang noch kein Update für die von der Firma verwendete PostgreSQL-Version 13.13 eingespielt hat, obwohl es seit dem 8. Februar drei GitLab-Sicherheitsupdates gab: am 15. Februar, am 21. Februar und am 6. März. Am 7. Februar, einen Tag vor Bekanntwerden der Lücke, hatte GitLab erst auf Version 13.13 umgestellt.

Mögliche Gefährdung der User

GitLab betont in einer Stellungnahme, dass für Anwenderinnen und Anwender keine unmittelbare Gefahr besteht: "Die Ausnutzung der Schwachstelle erfordert, dass ein Angreifer über ein gültiges Postgres-Konto und direkten Datenbankzugriff verfügt. GitLab bietet keinen direkten Datenbankzugriff auf die Postgres-Datenbank." Im Sinne von Zero Trust ist nach Einschätzung der iX-Redaktion jedoch von einer allgemeinen Gefährdung des Systems auszugehen, denn ein Angreifer, der anderweitig in System gelangt ist, kann die PostgreSQL-Schwachstelle nutzen, um sich weiter auszubreiten.

GitLab kündigte in seiner Stellungnahme ferner an, ein PostgreSQL-Update "als Teil eines der nächsten Release-Zyklen bereitzustellen".

(who)