CVE-2024-9693: GitLab Issues Critical Patch for Kubernetes Agent
2024.11/13 SecurityOnline — GitLab がリリースしたセキュリティ・アップデートは、Kubernetes クラスタへの不正アクセスを許す可能性のある、深刻な脆弱性に対処するものだ。Community Edition (CE)/Enterprise Edition (EE) のバージョン 17.5.2/17.4.4/17.3.7 では、Kubernetes の深刻な脆弱性 CVE-2024-9693 を含む、6件のセキュリティ脆弱性が修正されている。
最も深刻度が高い脆弱性 CVE-2024-9693 (CVSS 8.5) は、特定のコンフィグレーションにおけるクラスタ内の、Kubernetes エージェントへの不正アクセスを、攻撃者に許すものだ。この脆弱性は、GitLab チーム・メンバーの Tiger Watson により発見された。
今回のアップデートで修正された、その他の脆弱性は下記の通りだ:
- CVE-2024-7404:Device OAuth フローの脆弱性
この欠陥により、被害者に成りすました攻撃者は、API へのフルアクセスを獲得する可能性を得る。 - DoS (Denial of Service) の脆弱性
不正に作成されたコンテンツが、Fogbugz インポーターを介してインポートされると、サービス拒否が発生する可能性がある。現時点では、この脆弱性には CVE-ID は採番されていない。 - CVE-2024-8648:蓄積型 XSS (cross-site scripting) の脆弱性
攻撃者は、特別に細工した URL を使用して、悪意の JavaScript コードを Analytics Dashboards に注入する可能性を手にする。 - CVE-2024-8180:HTML インジェクションの脆弱性
CSP (Content Security Policy) が無効化されている場合に、不適切な出力エンコードにより、XSS 攻撃が引き起こされる可能性がある。 - CVE-2024-10240:情報漏えいの脆弱性
特定の状況下において、プライベート・プロジェクトのマージ・リクエストに関する情報が、認証されていない攻撃者に読み取られる可能性がある。
すべてのユーザーに対して GitLab が強く推奨するのは、セルフ・マネージドのインストールを、最新バージョンへと直ちにアップグレードすることだ。
GitLab はアドバイザリで、「脆弱なバージョンを使用している、すべてインストールに対して強く推奨されるのは、可能な限り早急に、最新バージョンへとアップグレードすることだ」と述べている。
GitLab の複数の脆弱性が FIX されました。その中で、最も深刻なものは、CVE-2024-9693 (CVSS 8.5) となっています。ご利用のチームは、十分に ご注意ください。よろしければ、GitLab で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.