脆弱性の概要
GitLabは、Community Edition (CE)およびEnterprise Edition (EE)のワークスペース作成時に任意のファイルを書き込むことができる重大なセキュリティ脆弱性を修正するセキュリティパッチを再びリリースした。
この脆弱性番号は CVE-2024-0402CVSSスコアは10点満点中9.9点。
GitLabは2024年1月25日に掲載したBulletinの中で、"GitLab CE/EEにおいて、16.5.8、16.6.6、16.7.4、16.8.1以下の全てのバージョンに影響を及ぼす問題が確認されました。サーバーの任意の場所にファイルを書き込むことができます。"
影響を受けるバージョン
- GitLab CE/EE 16.5.8、16.6.6、16.7.4、16.8.1以下のすべてのバージョン
安全リスク
- この脆弱性の悪用に成功した攻撃者は、GitLabサーバー上に任意のファイルを書き込み、悪意のあるコードを仕込んだり、機密データを盗んだり、システムを不安定化させたりする可能性があります。
修復プログラム
- 今すぐGitLabインスタンスを脆弱性を修正したバージョンにアップグレードしてください:
- GitLab CE/EE 16.5.8
- GitLab CE/EE 16.6.6
- GitLab CE/EE 16.7.4
- GitLab CE/EE 16.8.1
- 早急なアップグレードが不可能な場合は、以下の緩和策を講じる:
- ワークスペースを作成できるユーザーの権限を制限します。
- システムアクティビティを注意深く監視し、不審な動作に対して対策を講じる。
元記事はChief Security Officerによるもので、転載の際はhttps://cncso.com/jp/gitlabワークスペース作成の脆弱性によりファイルの。
