背景:
GitLab は、GitLab Community Edition (CE) と Enterprise Edition (EE) のいずれかを修正するセキュリティ アドバイザリを正式にリリースしました。リモートでコードが実行される脆弱性(CVE-2022-2884) この脆弱性により、認証されたユーザーは GitHub API エンドポイントからインポートすることでリモートでコードを実行でき、攻撃者がこの脆弱性を悪用した場合、サーバー権限を取得する可能性があります。
影響を受けるバージョン:
GitLab CE/EE 15.3 バージョン: < 15.3.1
GitLab CE/EE 15.2 バージョン: < 15.2.3
GitLab CE/EE 15.1 バージョン: < 15.1.5
悪用:
現時点では脆弱性の詳細やテストコードは公開されていないが、悪意のある攻撃者が脆弱性のトリガーポイントを比較・分析する可能性があるため、影響を受けるユーザーは適時にセキュリティパッチを更新することが推奨される。
修理の提案:
正式なセキュリティバージョンがリリースされており、セキュリティバージョンにアップグレードすることをお勧めします。
https://about.gitlab.com/update/
https://about.gitlab.com/releases/2022/08/22/critical-security-release-gitlab-15-3-1-released/
元記事はChief Security Officerによるもので、転載の際はhttps://cncso.com/jp/gitlab-devops-platform-rce-vulnerability-html。