GitLab urges users to install security updates for critical pipeline flaw
2023/09/19 BleepingComputer — スケジュールされたセキュリティ・スキャン・ポリシーを悪用する攻撃者が、他のユーザーを装いながらパイプライン実行を可能にする、深刻な脆弱性に対処するセキュリティアップデートを、GitLab がリリースした。GitLab は、Web ベースの OSS プロジェクト管理および作業トラッキングのための、人気のプラットフォームであり、無料版と商用版を提供している。この脆弱性 CVE-2023-5009 (CVSS:9.6) は、GitLab Community Edition (CE)/Enterprise Edition (EE) の、バージョン 13.12〜16.2.7 と、バージョン 16.3〜16.3.4に影響を与える。
この問題は、セキュリティ研究者でありバグハンターである Johan Carlsson により発見されたものだ。GitLab によると、今回の脆弱性は、8月の時点で適用された CVE-2023-3932 (Medium) への修正をバイパスするものだという。彼は、実装された保護を突破する方法を発見し、この脆弱性の CVSS 値を Critical に引き上げるという、影響力を実証した。
パイプライン・タスク (一連の自動化されたタスク) の実行において、ユーザーの知らないところで偽装が行われると、攻撃者による機密情報へのアクセスや、なりすましたユーザーの権限を悪用したコード実行、データの改変などに加えて、GitLab システム内で特定イベントのトリガーが可能になるという。
GitLab がコード管理に使用されていることを考慮すると、このような侵害は知的財産の損失/有害なデータ漏えい/サプライチェーン攻撃などの、ハイ・リスクなシナリオにつながる可能性がある。
GitLab のニュースレターは、「この脆弱性は深刻であるため、ユーザーに対して推奨されるのは、すでに提供されているセキュリティ・アップデートの速やかに適用である。この脆弱性 CVE-2023-5009 を解決するバージョンは、GitLab Community Edition/Enterprise Edition の 16.3.4 と 16.2.7 である」と記されている。
なお、セキュリティ問題の修正を受けていないバージョン 16.2 以前の、ユーザーに対して提案されている緩和策は、”Direct Transfers” と “Security Policies” の両方が、ON になっている状態を避けることだ。
両方の機能がアクティブなケースにおいては、対象となるインスタンスは脆弱であるため、ユーザーは必要に応じて、一度に1つずつ ON にするよう警告されている。
GitLab のアップデートはココから得られる。また、公式 Web ページからも、GitLab Runner パッケージを入手できる。
GitLab の開発パイプラインで脆弱性 CVE-2023-5009 (CVSS:9.6) が発生とのことです。お隣のキュレーション・チームに聞いてみたところ、9月21日にレポートされており、CWE-284 (不適切なクセス制御) として分類されていると言っていました。関連記事としては、2022/02/16 の「ポイズンド・パイプライン:CI/CD 環境における攻撃メソッドについて」があります。よろしければ、GitLab で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.