GitLab Races to Fix Critical XSS Flaws – Don’t Delay Your Upgrade
2024/04/10 SecurityOnline — コードコラボレーションとプロジェクト管理のための DevOps プラットフォームとして広く利用されている GitLab が、重要なセキュリティ・アップデートとして 16.10.2/16.9.4/16.8.6 をリリースした。このリリースで対処された複数の欠陥のうち、最も深刻なものは、蓄積型クロスサイトスクリプティング (XSS) の脆弱性である。これらの脆弱性の悪用に成功した攻撃者は、ユーザー・セッションの乗っ取りや、機密データの窃取を可能にし、さらには、標的システム内での攻撃のための足場を構築する可能性もあるという。
XSS:攻撃者の武器
今回のアップデートの中心は、プラットフォームの堅牢性に強い影響を及ぼす、2つの蓄積型クロスサイト・スクリプティング (Stored XSS) の脆弱性に対する修正にある。この Stored XSS を悪用する攻撃者は、Web アプリケーションに対して悪意のスクリプトを注入し、正当なユーザーになりすまして不正なアクションを実行できるという、極めて効果的な手段を手にすることになる。
1つ目の脆弱性 CVE-2024-3092 は、16.9.4 未満の 16.9.x および、16.10.2 未満の 16.10.x において、GitLab の diff viewer で参照できるものであり、その悪用に成功した攻撃者は、ユーザーの完全性を侵害するペイロードを展開できるという。ただし、GitLab の最新リリースにおいて、この脆弱性 CVE-2024-3092 は無効化されている。
2つ目の脆弱性 CVE-2024-2279 も、同様に致命的なものである。この欠陥は、issue references のオートコンプリート機能により増幅される XSS の脆弱性であり、16.7 以降のバージョンに影響を及ぼすものだ。この脆弱性の悪用に成功した攻撃者は、ユーザー・セッションを乗っ取り、任意のアクションを実行する可能性を持つ。
サービス拒否
今回のアップデートでは、サービス拒否 (DoS) の脆弱性に対して、特に Redos (Regular Expression Denial of Service) 攻撃に対して、防御が強化されている。これらの脆弱性は、チャット統合メッセージや junit テスト・レポート解析に固有のものであり、攻撃者がリソースの使用量を劇的に増加させ、サービス低下の可能性を生じるものである。この脆弱性 CVE-2023-6489/CVE-2023-6678 の深刻度は Medium であるが、サービス妨害の手口に対する警戒が必要だ。
行動への呼びかけ
すでに GitLab.com は、パッチを適用したバージョンへと移行しており、GitLab CE/EE を利用しているユーザーや組織も、それに続くべきである。バージョン16.10.2/16.9.4/16.8.6 へのアップグレードの緊急性は、きわめて高いものである。システムとデータの完全性を守るためにも、このアップデートを遅らせてはならない。放置すれば、一連の脆弱性を悪用する敵対者に対してドアを開くことになる。
GitLab に脆弱性 CVE-2024-3092/CVE-2024-2279 が発生です。ご利用中のバージョンを確認の上、適切なパッチを適用する必要があります。よろしければ、GitLab で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.