Gitlab ist von CVE-2014-6271/CVE-2014-7169 betroffen
In Bash wurde eine recht unangenehme Sicherheitslücke gefunden und selbst-installierte gitlabs können betroffen sein.
Im Blog von Gitlab gibt es zunächst eine gute Nachricht: Ausgenutzt können die die Lücken nur von angemeldeten Benutzern die Ihren SSH-Key hinterlegt haben. Das schränkt das ganze schon mal etwas ein, wenn auch nicht so richtig.
Als Lösung schlägt gitlab vor, neben dem Update der bash, einfach die Shell zu ändern.
` chsh /bin/zsh `
ändert die Shell zu ZSH. Hätte ich sowieso schon länger mal machen sollen.
(bzw. auf CentOS 5 hosts ` chsh -s /package/host/localhost/zsh-4.3/bin/zsh ` weil da die Standard-Version zu alt ist.)
Danach solltet ihr natürlich eure ~/.bashrc
(und all die anderen Start-Konfigurationen) von bash mal anschauen und das wichtige in die ~/.zshrc
übertragen, damit alles weiterhin entspannt läuft.
Wer in dem Zug direkt auf Gitlab 7.3.1 aktualisieren will und schon auf 7.3 ist, kann sich einfach den patch upgrade guide anschauen.
Achso und ich habe mal eine neue Kategorie für die ganzen Gitlab-Beiträge angelegt. Das nimmt ja langsam überhand hier ;-)