GitLab ‘strongly recommends’ patching max severity flaw ASAP
2023/05/24 BleepingComputer — GitLab に存在する、深刻なパストラバーサルの脆弱性 CVE-2023-2825 (CVSS:10.0) の欠陥に対処するために、緊急セキュリティ・アップデートであるバージョン 16.0.1 がリリースされた。リモートでコードを管理する必要がある、開発者チーム向けの Web ベース Git リポジトリである GitLab は、約3000万人の登録ユーザーと100万人の有料顧客を有している。
今回のアップデートで修正された脆弱性は、セキュリティ研究者である pwnie により発見され、同プロジェクトのバグ報奨金プログラム HackOne を介して報告されたという。
この脆弱性は、GitLab Community Edition (CE) および Enterprise Edition (EE) のバージョン 16.0.0 だけに影響し、それより古いバージョンは影響を受けない。
この脆弱性 CVE-2023-2825 の悪用に成功した攻撃者により、コードベース/ユーザー認証情報/トークン/ファイルなどの、個人情報を含む機密データが暴露される可能性がある。
この脆弱性は、認証されていない攻撃者が、サーバ上の任意のファイルを読み取ることができる、パストラバーサルの問題に起因している。なお、問題が発生するには条件があり、少なくとも5つのグループ内において、ネストされたパブリック・プロジェクトに添付ファイルが存在する場合となる。
この前提条件が示すのは、グループ階層の複数のレベル内でネストされた添付ファイルのパスを、GitLab が管理/は解決する方法に関連していることだと推測される。 ただし、問題の重大さと、発見の新しさのため、ベンダーからは詳細な情報が明らかにされていない。その代わりに GitLab は、最新のセキュリティ・アップデートを遅滞なく適用することの重要性を強調している。
GitLab のセキュリティ・アドバイザリには、「この問題の影響を受けるバージョンを実行している全ての環境を、可能な限り迅速に最新バージョンへのアップグレードすることを強く推奨する。製品固有のデプロイ・タイプ (Omnibus/Source Code/Helm Chart など) が言及されていない場合には、すべてのタイプが影響を受けることになる」と記されている。
緩和のための要因として挙げられるのは、この脆弱性は特定の条件下でしか発動しないことである。つまり、少なくとも5つのグループ内にネストされた、パブリック・プロジェクトに添付ファイルがある場合であり、すべての GitHub プロジェクトに該当する構造ではないことだ。
しかし、GitLab 16.0.0 の全ユーザーは、このリスクを軽減するために、可能な限り早急にバージョン 16.0.1 へとアップデートすることが推奨される。残念ながら、現時点において回避策は存在しない。
GitLab をアップデートする際には、プロジェクトのアップデートページの指示に従ってほしい。GitLab Runner のアップデートについては、こちらのガイドを参照してほしい。
GitLab の脆弱性 CVE-2023-2825 ですが、お隣のキュレーション・チームに聞いてみたら、5月25日付でレポートをアップしているとのことでした。GitLab の脆弱性は、割と多いとも言っていました。よろしければ、GitLab で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.