GitLab steht aktuell in der Kritik, da das Sicherheitsupdate für die bekannt gewordene PostgreSQL-Lücke noch nicht eingespielt wurde. Die Lücke die es Angreifern ermöglicht, Admin-Rechte zu erlangen ist seit dem 12. Februar 2024 bekannt. PostgreSQL hatte bereits am 8. Februar vor der Schwachstelle gewarnt die ein hohes Risiko darstellt.
PostgreSQL veröffentlichte Patches für verschiedene Versionen wie 12.18, 13.14, 14.11 und 15.6. Allerdings hat GitLab bislang noch kein Update für die verwendete PostgreSQL-Version 13.13 eingespielt ebenfalls wenn seit dem 8. Februar bereits drei Sicherheitsupdates veröffentlicht wurden.
Kurioserweise hatte GitLab erst einen Tag vor Bekanntwerden der Lücke auf Version 13.13 umgestellt, obwohl die sicherere Version 13.14 bereits seit September 2020 verfügbar ist. Trotz mehrfacher Anfragen gab es von GitLab bislang keine offizielle Stellungnahme zu der Problematik.
Für Nutzer❬innen❭ besteht dadurch ein potenziell hohes Risiko, da ihre Systeme durch die ungepatchte Lücke gefährdet sein könnten. Im Sinne der Sicherheit ist es ratsam, vorsorglich von einer potenziellen Gefährdung auszugehen und entsprechende Maßnahmen zu ergreifen. GitLab sollte deshalb dringend das Sicherheitsupdate auf Basis der PostgreSQL-Patches einspielen um die Sicherheit seiner Anwender zu gewährleisten.
Kommentare