CVE-2024-8114: GitLab Vulnerability Allows Privilege Escalation
2024/11/26 SecurityOnline — GitLab が公表したのは、Community Edition (CE)/Enterprise Edition (EE) 17.6.1/17.5.3/17.4.5 に影響を及ぼす、6つの脆弱性に対処するセキュリティ・アップデートである。一連の脆弱性の影響を受けるバージョンを使用しているユーザーに対して、同社が推奨するのは、すべてのインストールを最新バージョンへと、可能な限り早急にアップグレードすることである。
今回のリリースで対処された6件の脆弱性は、以下の通りだ:
- 特権昇格の脆弱性:CVE-2024-8114 (CVSSv3:8.2)
被害者の PAT (Personal Access Token) にアクセスできる攻撃者に、特権の昇格をゆるす可能性がある。この脆弱性は、GitLab の 17.4.5 未満/17.5.3 未満/17.6.1 未満に影響する。 - DoS (Denial of Service) 脆弱性:CVE-2024-8237/CVE-2024-8177
悪意のcargo.tomlファイルの閲覧により引き起こされる脆弱性 CVE-2024-8237 と、Harborレジストリ統合に関連する脆弱性 CVE-2024-8177 が修正された。 - 意図しない利用データへの不正アクセスの脆弱性:CVE-2024-11669
スコープ付きトークン経由で、機密データへの不正アクセスを許す可能性が生じる。 - リソースの枯渇と DoS 脆弱性:CVE-2024-11828
細工した API コールの送信により、DoS 状態を引き起こす可能性が生じる。 - ストリーミング・エンドポイントの脆弱性:CVE-2024-11668
長時間接続により、認証制御のバイパスを許す可能性が生じる。
これらの脆弱性の一部は、セキュリティ研究者の pwnie/l33thaxor/a92847865/luryus たちにより、HackerOne のバグ・バウンティ・プログラムを通じて報告された。また、GitLab の Dylan Griffith/Heinrich Lee Yu も、脆弱性の発見に貢献した。
GitLab が、すべてのユーザーに対して呼びかけるのは、最新バージョンへと直ちに更新し、これらのセキュリティ・リスクを軽減することである。
GitLab の複数の脆弱性が FIX しました。回避策については、何も書かれていないので、アップデートの一択なのでしょう。ご利用のチームは、ご注意ください。GitLab に関連する直近の記事は、2024.11/13 の「GitLab CE/EE の脆弱性 CVE-2024-9693 (CVSS 8.5) などが FIX:XSS/DoS 攻撃の可能性」です。よろしければ、GitLab で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.