GitLab の深刻な脆弱性 CVE-2022-2884 が FIX:認証済みの攻撃者による RCE

GitLab fixed a critical Remote Code Execution (RCE) bug in CE and EE releases

2022/08/23 SecurityAffairs — DevOps プラットフォームの GitLab は、GitLab Community Edition (CE) および Enterprise Edition (EE) に影響を及ぼす、深刻なリモートコード実行の脆弱性 CVE-2022-2884 (CVSS 9.9) を修正する、セキュリティ・アップデートをリリースした。攻撃者が認証されている場合には、GitHub の Import API を介して、この脆弱性の悪用が可能となる。


GitLab のアドバイザリには、「GitLab CE/EE の脆弱性は、11.3.4 から始まる 15.1.5 以前の全バージョンおよび、15.2 から 15.2.3 以前の全バージョン、15.3 から 15.3.1 以前の全バージョンに影響する。認証済の悪意のユーザーに対して、Import from GitHub API エンドポイントを介したリモートコード実行を許す可能性がある。上記の影響を受けるバージョンを実行している全てインストールについて、可能な限り早急に、最新バージョンにアップグレードすることを強く推奨する」と述べている。

この脆弱性は、同社の HackerOne バグバウンティ・プログラムを通じて、研究者である yvvdwf から報告された。

また、GitLab は、直ちにアップデートが実施できないケースのための回避策として、”administrator” として認証を済ませた後に、Setting メニューの ”Visibility and access controls” タブから、GitHub Import 機能を無効化することを推奨している。

なお、この脆弱性を悪用した、活発な攻撃の有無については、まだ不明である。

GitLab の脆弱性が FIX とのことです。お隣のキュレーションチームに聞いてみたら、現状は GitLab からの情報のみであり、NVD も追いついていないとのことでした。このブログでの、これまでの GitLab 関連のポストですが、2022年4月1日の「GitLab に深刻なアカウント乗っ取りの脆弱性:管理者に推奨される対策とは?」と、6月3日の「GitLab のアカウント乗っ取りの脆弱性 CVE-2022-1680 が FIX:速やかなアップデートを推奨」がありました。よろしければ、ご参照ください。

%d bloggers like this: