Community and Enterprise Editions

Die Schwachstelle betrifft die Community Edition und die Enterprise Edition von GitLab, einer Plattform zur Verwaltung von Softwareprojekten und Quellcode. Der Defekt sitzt in der Verarbeitung hochgeladener Bilddateien: Über die Upload-Funktion gelangen Bilder durch die GitLab-Komponente Workhorse an einen Datei-Parser, der die Bilder mit dem externen Werkzeug ExifTool zur Auswertung der Metadaten weiterreicht. Da die übergebenen Bilddateien nicht korrekt geprüft und validiert werden, kann ein Angreifer eine manipulierte Datei einschleusen, die beim Parsen nicht als reines Bild, sondern als ausführbarer Befehl verarbeitet wird. Auf diesem Weg lässt sich aus der Ferne beliebiger Code auf dem Server ausführen. Betroffen sind alle Installationen, die das Hochladen von Bildern über Workhorse nutzen – also der reguläre Funktionsumfang. Da hierüber der gesamte GitLab-Server und damit die dort verwalteten Projekte und Quellcodes kompromittiert werden können, ist der Angriffsweg besonders folgenschwer.