Critical Vulnerabilities Found in Gogs Self-Hosted Git Service: Urgent Update Required
2024/12/24 SecurityOnline — 人気の OSS のセルフホスト型 Git サービスである Gogs に、複数の深刻な脆弱性が発見された。これらの脆弱性の悪用に成功した攻撃者は、任意のコード実行/不正アクセス/機密データの窃取などの可能性を手にする。
脆弱性の詳細
- CVE-2024-55947 (CVSS:8.7):任意のパスへのファイルの書き込みを攻撃者に許し、サーバへの SSH アクセスの許可を与える可能性がある。
- CVE-2024-39930 (CVSS:9.9):ビルトインの SSH サーバが有効かされている場合において、特権のない攻撃者に対して、昇格した特権でのコマンド実行を許す。
- CVE-2024-39931 (CVSS:9.9):特権のないユーザに対して内部ファイルの削除を許可し、システム侵害の可能性を引き起こす。
- CVE-2024-39932 (CVSS:9.9):任意のファイルへの書き込みを攻撃者に許し、強制的な再インストールを容易させ、管理者権限を付与してしまう可能性を持つ。
- CVE-2024-39933 (CVSS:7.7):特権のない攻撃者に対して、任意のファイルの読み取りを許す可能性がある。それらのファイルには、データベース認証情報や TLS 証明書を取り込んだコンフィグ・ファイルなども含まれる。
- CVE-2024-54148 (CVSS:8.7):攻撃者に対して、シンボリックリンク・ファイルの操作を許し、サーバへの SSH アクセスの可能性を与えてしまう。
直ちにアップデートを!
Gogs のユーザーに推奨されるのは、バージョン 0.13.1 または最新バージョン 0.14.0+dev へと、可能な限り早急に更新することだ。これらの更新により、セキュリティ修正が提供され、新たに特定された脆弱性が修正される。
回避策
速やかなアップデートが難しい場合には、Gogs インスタンスへのアクセスを、信頼できるユーザーのみに制限することが重要となる。なお、Windows 以外のシステムにおける脆弱性 CVE-2024-39930 については、ビルトイン SSH サーバの無効化が推奨される。
Git サービスを構築するための Gogs とのことなので、ご利用のチームも多いのかと思います。たくさんの、深刻度の高い脆弱性が出ていますので、ご注意ください。Gogs ですが、おそらく GitLab などと同じカテゴリに属すると思い、探してみたら「OSS の Git サーバ4種類を主観的に比較する」という記事が見つかりました。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.