GitLab veröffentlicht Sicherheitsupdates für CE und EE

GitLab hat neue Sicherheitsupdates für die Community Edition (CE) und die Enterprise Edition (EE) bereitgestellt. Die Versionen 18.4.2, 18.3.4 und 18.2.8 enthalten wichtige Fehlerbehebungen sowie Sicherheitskorrekturen.

Das Unternehmen empfiehlt allen Betreibern selbstverwalteter GitLab-Instanzen, umgehend auf eine der aktualisierten Versionen zu wechseln. GitLab.com nutzt bereits die gepatchte Version. Kunden von GitLab Dedicated müssen keine weiteren Schritte unternehmen.

GitLab veröffentlicht Korrekturen für Sicherheitslücken in Patch-Versionen. Es gibt zwei Arten von Patch-Versionen: geplante Versionen und Ad-hoc-Patches für kritische Sicherheitslücken mit hohem Schweregrad. Geplante Versionen werden zweimal im Monat, jeweils am zweiten und vierten Mittwoch, veröffentlicht. Weitere Informationen finden Sie in unserem Release-Handbuch und den Sicherheits-FAQ. Alle Blog-Beiträge zu GitLab-Versionen finden Sie hier.

Bei Sicherheitsfixes werden die Probleme, die jede Schwachstelle detailliert beschreiben, 30 Tage nach der Veröffentlichung, in der sie gepatcht wurden, in unserem Issue Tracker veröffentlicht.

„Wir verpflichten uns, sicherzustellen, dass alle Aspekte von GitLab, die für Kunden sichtbar sind oder Kundendaten hosten, den höchsten Sicherheitsstandards entsprechen. Um eine gute Sicherheitshygiene zu gewährleisten, wird allen Kunden dringend empfohlen, auf die neueste Patch-Version für ihre unterstützte Version zu aktualisieren. Weitere Best Practices zur Sicherung Ihrer GitLab-Instanz finden Sie in unserem Blogbeitrag.“

Empfohlene Maßnahme

Es wird dringend empfohlen, dass alle Installationen, auf denen eine von den unten beschriebenen Problemen betroffene Version läuft, so schnell wie möglich auf die neueste Version aktualisiert werden.

Wenn kein bestimmter Bereitstellungstyp (Omnibus, Quellcode, Helm-Chart usw.) eines Produkts erwähnt wird, bedeutet dies, dass alle Typen betroffen sind.

CVE-2025-11340 – Falsche Autorisierung in GraphQL-Mutationen beeinträchtigt GitLab EE

GitLab hat ein Problem behoben, das unter bestimmten Umständen dazu hätte führen können, dass authentifizierte Benutzer mit schreibgeschützten API-Tokens unbefugte Schreibvorgänge an Schwachstellenaufzeichnungen durchführen konnten, indem sie falsch definierte GraphQL-Mutationen ausnutzten.

Betroffene Versionen: GitLab EE: alle Versionen von 18.3 bis 18.3.4, 18.4 bis 18.4.2

CVSS: 7.7 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N)

CVE-2025-10004 – Denial-of-Service-Problem im GraphQL-Blob-Typ betrifft GitLab CE/EE

GitLab hat ein Problem behoben, das dazu führen konnte, dass die GitLab-Instanz nicht mehr reagierte oder beeinträchtigt wurde, indem manipulierte GraphQL-Abfragen gesendet wurden, die große Repository-Blobs anforderten.

Betroffene Versionen: GitLab CE/EE: alle Versionen von 13.12 bis 18.2.8, 18.3 bis 18.3.4 und 18.4 bis 18.4.2

CVSS: 7,5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

CVE-2025-9825 – Fehlende Autorisierung bei manuellen Jobs wirkt sich auf GitLab CE/EE aus

GitLab hat ein Problem behoben, durch das authentifizierte Benutzer ohne Projektmitgliedschaft sensible manuelle CI/CD-Variablen durch Abfragen der GraphQL-API einsehen konnten.

Betroffene Versionen: GitLab CE/EE: alle Versionen von 13.7 bis 18.2.8, 18.3 vor 18.3.4 und 18.4 vor 18.4.2

CVSS: 5.0 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N)

CVE-2025-2934 – Denial-of-Service-Problem in Webhook-Endpunkten betrifft GitLab CE/EE

GitLab hat ein Problem behoben, das eine Upstream-Ruby-Core-Bibliothek betraf und es einem authentifizierten Benutzer ermöglicht hätte, einen Denial-of-Service-Zustand zu erzeugen, indem er bösartige Webhook-Endpunkte konfiguriert, die manipulierte HTTP-Antworten senden. Dieses Problem wurde den Ruby-Core-Betreuern am 17. Juli 2025 gemeldet.

Betroffene Versionen: GitLab CE/EE: alle Versionen von 5.2 vor 18.2.8, 18.3 vor 18.3.4 und 18.4 vor 18.4.2

CVSS: 4,3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L)

Schauen Sie mal hier vorbei

---

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky