OneDev DevOps Platform Patches Critical Security Flaw Exposing Sensitive Data – (CVE-2024-45309)
2024/10/22 SecurityOnline — オープンソース DevOps プラットフォーム OneDev に存在する、深刻なセキュリティ脆弱性 CVE-2024-45309 が発見/修正された。この脆弱性の悪用に成功した未認証の攻撃者は、OneDev サーバ・プロセスを介してアクセスできる、任意のファイルの読み取りを可能にする。それらのファイルとしては想定されるものには、ソース コード/コンフィグ/ユーザー認証情報などがあり、機密情報の漏洩にいたる可能性が生じている。
OneDev は、ソフトウェア開発ライフサイクルの簡素化を目的とした、オールインワンの DevOps プラットフォームである。オープンソースとして提供され、単一のアプリケーションとして包括的なツール・スイートを提供するため、GitLab などのプラットフォームに対する強力な代替手段となり得る。
脆弱性 CVE-2024-45309 (CVSSv4:8.7) は、OneDev バージョン 11.0.8 以前を使用している組織に対して深刻なセキュリティ・リスクをもたらすものになる。この欠陥が悪用されると、システム侵害/データ侵害/知的財産の盗難など、深刻な結果を招く可能性がある。
OneDev のセキュリティ・アドバイザリには、「深刻なセキュリティ脆弱性が発見された。この脆弱性の悪用に成功した認証されていないユーザーには、OneDev サーバ・プロセスからアクセスできる、任意のファイルを読み取る可能性を手にする」と記されている。
すでに OneDev 開発チームは、バージョン 11.0.9 のリリースにより、この脆弱性に対処している。すべてのユーザー対して強く推奨されるのは、最新バージョンへと直ちに更新することである。
OneDev について調べたところ、GitHub に「私は DevOps エンジニアである。数年前、既存の Git サーバを評価したが、どれもニーズを満たしていなかった。そこで、空き時間に OneDev を開発し、それを社内で使用したところ、非常に良い結果が得られた。もちろん、IDE でも対応は可能であるが、古いコミットを検索する必要があり (リリース。バージョンの問題を調査するなど)、IDE でコミットを切り替えるのは面倒で時間を要することが多い」という紹介がありました。文中にもあるように、GitLab の代替手段なのでしょう。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.