GitLab Tackles Critical Security Flaws in Latest Patch Release
2025/01/08 SecurityOnline — 人気の DevOps プラットフォーム GitLab がリリースしたのは、インポート機能やコア機能に影響を及ぼす、複数のセキュリティ脆弱性に対処するパッチアップデートである。すでに GitLab は、バージョン 17.7.1/17.6.3/17.5.5 をリリースしており、ダウンロードとアップグレードが可能になっている。GitLab の HackerOne バグ・バウンティ・プログラムで発見された脆弱性に対して、このパッチはリリースされている。
インポート機能に影響する脆弱性
GitLab のインポート機能で特定された脆弱性は、CVE-2024-5655/CVE-2024-6385/CVE-2024-6678/CVE-2024-8970 であり、攻撃者によるシステムの悪用を許すものであるという。GitLab は、これらの問題に対処するために、User Contribution Mapping 機能を再設計した。
GItLab の公式リリースには、「これらの脆弱性に対処し、セキュリティを強化するために、Importer の User Contribution Mapping 機能を再設計した」と記されている。
インポート機能の主な変更点
- インポート後のマッピング:この新しい機能により、インポート・プロセスが完了した後の、インポートされたコントリビューションとメンバーシップを、管理者はユーザーに対してアサインできるようになり、制御とセキュリティが強化された。
- メールに依存しないマッピン:更新されたマッピング・プロセスは、メール・アドレスに依存しないものであり、異なるメール・ドメインを持つインスタンスからのインポートにおいても、柔軟性とセキュリティが向上している。
- ユーザー制御: 宛先インスタンスのユーザーは、割り当てられたコントリビューションに対する承認/拒否を権限として持つようになるため、セキュリティが強化され、不正アクセスが防止される。
追加のセキュリティ修正
今回のパッチ・リリースでは、インポート機能以外にも、以下の脆弱性が解決されている:
GitLab ログでのアクセス・トークン露出の可能性:CVE-2025-0194:この脆弱性が悪用されると、特定の条件下でアクセス・トークンが露出し、不正アクセスにつながる恐れがある。
エピックの循環参照によるリソース枯渇:CVE-2024-6324:この脆弱性を悪用する攻撃者は、エピック間の循環参照を作成することで、サービス拒否 (DoS) 攻撃をトリガーできる。
公開プロジェクトの発行ステータスに対する不正操作:CVE-2024-12431:この脆弱性を悪用する権限を持たないユーザーであっても、公開プロジェクトの発行ステータスの操作が可能になるため、ワークフロー中断やデータ不整合の可能性が生じる。
インスタンス SAML バイパス:CVE-2024-13041:インスタンス SAML コンフィグの欠陥により、外部プロバイダー設定をバイパスするユーザーが、内部のプロジェクト/グループへの不正アクセスを達成する可能性が生じる。
推奨されるアクション
GitLab が強く推奨するのは、すべてのセルフマネージド GitLab インストールを、パッチ適用済みバージョンへと、速やかにアップグレードすることである。
GitLab はセキュリティ・アドバイザリには、「ここで説明した問題の影響を受けるバージョンを実行する、すべてのンストールにおいては、最新バージョンへの速やかなアップグレードが強く推奨される」と記されている。
さらに GitLab は、アップグレードが完了するまでの間は、インポーターを無効化すべきだと述べている。その際には、インポート・プロセスの必要性に応じて、一時的にインポーターを有効化することを推奨している。
GitLab の複数の脆弱性が FIX しました。この記事には深刻度が表記されていませんが、NVD (CVE-2024-5655/CVE-2024-6385/CVE-2024-6678/CVE-2024-8970) では 9.6 などの高スコアが示されていますので、ご注意ください。よろしければ、GitLab で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.