GitLab schließt kritische Sicherheitslücken mit neuen Patch-Versionen

Neue Patch-Releases beheben mehrere Schwachstellen in Community und Enterprise Edition

GitLab hat aktuelle Patch-Versionen für seine Plattform herausgegeben, die verschiedene Sicherheitsprobleme und Stabilitätsdefizite adressieren. Die Updates mit den Versionsnummern 18.8.2, 18.7.2 sowie 18.6.4 stehen für selbstgehostete Installationen der Community Edition und Enterprise Edition bereit. Betreiber eigener GitLab-Instanzen werden aufgefordert, die Aktualisierung zügig durchzuführen.

Die cloudbasierte Variante GitLab.com nutzt bereits die gepatchten Versionen. Anwender von GitLab Dedicated müssen keine eigenen Schritte einleiten, da diese Umgebungen automatisch aktualisiert werden.

Fünf dokumentierte Sicherheitslücken geschlossen

Das aktuelle Patch-Release adressiert insgesamt fünf identifizierte Schwachstellen mit unterschiedlichen Schweregraden:

CVE-2025-13927 betrifft die Jira Connect-Integration. Nicht angemeldete Nutzer konnten durch manipulierte Anfragen mit fehlerhaften Anmeldedaten einen Dienstverfügbarkeitsausfall herbeiführen. Die Schwachstelle existierte in sämtlichen Versionen ab 11.9 und erhielt einen CVSS-Score von 7.5. Die Meldung erfolgte durch den Sicherheitsforscher a92847865 über das HackerOne-Programm.

CVE-2025-13928 beschreibt eine fehlerhafte Autorisierungsprüfung in der Releases-API. Auch hier konnten unauthentifizierte Akteure durch Ausnutzung der Schwachstelle die Dienstverfügbarkeit beeinträchtigen. Betroffen waren alle Versionen seit 17.7 mit einem identischen CVSS-Wert von 7.5.

CVE-2026-0723 ermöglichte das Umgehen der Zwei-Faktor-Authentifizierung. Angreifer mit Kenntnis der Zugangsdaten einer Person konnten durch gefälschte Geräteantworten die zusätzliche Sicherheitsebene aushebeln. Die Schwachstelle mit einem CVSS-Score von 7.4 bestand ab Version 18.6 und wurde von ahacker1 gemeldet.

CVE-2025-13335 betraf die Wiki-Funktionalität. Angemeldete Nutzer konnten unter bestimmten Bedingungen durch fehlerhafte Wiki-Dokumente, welche die Zykluserkennung umgingen, einen Dienstverfügbarkeitsausfall erzeugen. Die Lücke existierte seit Version 17.1 und erreichte einen CVSS-Wert von 6.5.

CVE-2026-1102 stellte ein Denial-of-Service-Risiko durch wiederholte fehlerhafte SSH-Authentifizierungsanfragen dar. Diese Schwachstelle wurde intern vom GitLab-Mitarbeiter Thiago Figueiró identifiziert und betraf Versionen ab 12.3 mit einem CVSS-Score von 5.3.

Upgrade-Prozess mit Datenbankmigrationen

Die Patch-Versionen enthalten Datenbankmigrationen, die bei der Aktualisierung zu berücksichtigen sind. Einzelknoten-Installationen erfahren während des Upgrade-Vorgangs eine Ausfallzeit, da die Migrationen vor dem Neustart vollständig durchlaufen müssen. Bei Installationen mit mehreren Knoten lässt sich das Update bei korrekter Vorgehensweise ohne Unterbrechung der Verfügbarkeit durchführen.

Version 18.7.2 beinhaltet zusätzlich Migrationen nach der Bereitstellung, die im Anschluss an das Upgrade ausgeführt werden können.

Release-Rhythmus und Veröffentlichungspolitik

GitLab folgt einem strukturierten Veröffentlichungsplan für Sicherheitsupdates. Geplante Patch-Releases erscheinen zweimal monatlich am zweiten und vierten Mittwoch. Schwachstellen mit hohem Schweregrad werden bei Bedarf durch ungeplante kritische Patches adressiert.

Detaillierte Informationen zu den einzelnen Sicherheitslücken werden 30 Tage nach Veröffentlichung des entsprechenden Patches im öffentlichen Issue Tracker publiziert. Diese Vorgehensweise ermöglicht Administratoren ausreichend Zeit zur Aktualisierung ihrer Systeme, bevor technische Details verfügbar werden.

GitLab betont die Bedeutung aktueller Patch-Versionen für die Sicherheitshygiene selbstverwalteter Installationen und verweist auf zusätzliche Best Practices zur Absicherung von GitLab-Instanzen in der offiziellen Dokumentation.

Mehr Lesestoff: