DevOps プラットフォーム GitLab リモート コード実行 (RCE) の脆弱性

背景:

GitLab は、GitLab Community Edition (CE) と Enterprise Edition (EE) のいずれかを修正するセキュリティ アドバイザリを正式にリリースしました。リモートでコードが実行される脆弱性(CVE-2022-2884) この脆弱性により、認証されたユーザーは GitHub API エンドポイントからインポートすることでリモートでコードを実行でき、攻撃者がこの脆弱性を悪用した場合、サーバー権限を取得する可能性があります。

影響を受けるバージョン:

GitLab CE/EE 15.3 バージョン: < 15.3.1

GitLab CE/EE 15.2 バージョン: < 15.2.3

GitLab CE/EE 15.1 バージョン: < 15.1.5

悪用:

現時点では脆弱性の詳細やテストコードは公開されていないが、悪意のある攻撃者が脆弱性のトリガーポイントを比較・分析する可能性があるため、影響を受けるユーザーは適時にセキュリティパッチを更新することが推奨される。

修理の提案:

正式なセキュリティバージョンがリリースされており、セキュリティバージョンにアップグレードすることをお勧めします。

https://about.gitlab.com/update/

https://about.gitlab.com/releases/2022/08/22/critical-security-release-gitlab-15-3-1-released/

元記事はChief Security Officerによるもので、転載の際はhttps://cncso.com/jp/gitlab-devops-platform-rce-vulnerability-html。

のように (35)
前の 2022年8月15日午前12時
2022年8月30日午前12時40分

関連する提案