Prompt Injection Vulnerability in GitHub Actions Impacts Multiple Fortune 500 Companies
2025/12/05 gbhackers — ソフトウェア開発における Artificial Intelligence (AI) の活用が引き起こす副作用が、新しいタイプのセキュリティ脆弱性となり、大企業を危険にさらしている。Aikido Security が発見したのは、PromptPwnd という名の脆弱性である。この脆弱性により、GitHub Actions/GitLab CI/CD パイプライン内で動作する AI エージェントが、攻撃者に乗っ取られる可能性が生じている。
Continue reading “GitHub Actions/GitLab CI/CD とプロンプト・インジェクション:Fortune 500 企業への影響を確認”Public GitLab repositories exposed more than 17,000 secrets
2025/11/28 BleepingComputer — GitLab Cloud 上の 560万件の公開リポジトリをスキャンした結果、2,800 を超える固有ドメインにまたがって存在する、17,000件を超える公開シークレットが発見された。オープン・ソース・ツール TruffleHog を用いることで、セキュリティ研究者である Luke Marshall が調査したのは、リポジトリ内のコードに含まれる API キー/パスワード/トークンといった機密性の高い認証情報である。
Continue reading “GitLab Cloud 公開リポジトリ 560 万件のスキャンで判明:17,000件超のシークレット漏洩”Gitlab Patches Multiple Vulnerabilities that Enable Authentication Bypass and DoS Attacks
2025/11/27 CyberSecurityNews — GitLab がリリースしたのは、Community Edition (CE)/Enterprise Edition (EE) に存在する複数の深刻な脆弱性に対処するための、重要なセキュリティ・アップデートである。それらの脆弱性を悪用する攻撃者は、認証バイパス/ユーザー認証情報の窃取/サービス拒否 (DoS) 攻撃によるサーバ・クラッシュなどを引き起こすとされる。すでに GitLab は、パッチを取り込んだバージョン 18.6.1/18.5.3/18.4.5 をリリースし、この問題に対処している。
Continue reading “GitLab CE/EE の複数の脆弱性が FIX:認証バイパス/DoS 攻撃などの恐れ”Multiple Gitlab Security Vulnerabilities Let Attackers Trigger DoS Condition
2025/10/22 CyberSecurityNews — GitLab がリリースしたのは、Community Edition (CE)/Enterprise Edition (EE) に存在する、複数の深刻なセキュリティ脆弱性に対処するパッチ・バージョン 18.5.1/18.4.3/18.3.5 である。これらの脆弱性に含まれるものには、深刻度の高いサービス拒否 (DoS) 攻撃の欠陥がある。今回のアップデートで修正されたのは、細工されたペイロードによりシステムが過負荷状態に陥る問題や、認証済みユーザーに影響するアクセス制御および認証のバグである。
Continue reading “GitLab の複数の脆弱性が FIX:DoS 攻撃や不適切なアクセス制御の問題に対応”GitLab Releases Security Update to Patch Multiple DoS-Enabling Vulnerabilities
2025/10/09 gbhackers — GitLab が発表したのは、Community Edition (CE) とEnterprise Edition (EE) の両方に影響を及ぼす、複数のサービス拒否 (DoS) 脆弱性に対処する重大なセキュリティ・アップデートである。セルフマネージド・インストールを利用しているユーザーは、直ちにバージョン 18.4.2/18.3.4/18.2.8 にアップグレードする必要がある。また、GitLab.com では既に修正済みバージョンが稼働中であり、GitLab Dedicated の利用者は影響を受けない。
Continue reading “GitLab CE/EE の4件の脆弱性が FIX:複数の DoS 脆弱性に対処”GitLab High-Severity Vulnerabilities Let Attackers Crash Instances
2025/09/26 CyberSecurityNews — GitLab が公開したのは、未認証の攻撃者により悪用され、セルフ・マネージド GitLab インスタンスをクラッシュさせる可能性のある、深刻度の高いサービス拒否 (DoS) 脆弱性 CVE-2025-10858/CVE-2025-8014 に関する情報である。それらの脆弱性が影響を及ぼす範囲は、Community Edition (CE)/Enterprise Edition (EE) のバージョン 18.4.1/18.3.3/18.2.7 未満であり、攻撃者に対して HTTP エンドポイントと GraphQL API の悪用を許すという。管理者にとって必要なことは、速やかなアップデートにより、サービスの中断とデータ損失の可能性を防ぐことである。
Continue reading “GitLab CE/EE の複数の脆弱性が FIX:不正な JSON ペイロードによるサービス拒否攻撃”Multiple Vulnerabilities in GitLab Patched, Blocking DoS and SSRF Attack Vectors
2025/09/10 gbhackers — GitLab が公開したのは、6件の深刻な脆弱性に対応するための、重要なセキュリティ・アップデートである。それらの脆弱性は複数バージョンに影響を及ぼし、サービス拒否攻撃/サーバサイド・リクエスト・フォージェリ (SSRF)/情報漏洩などを引き起こす可能性のあるものだ。GitLab は、Community/Enterprise Edition のバージョン 18.3.2/18.2.6/18.1.6 をリリースし、すべてのセルフ・マネージド環境に対して、速やかなアップグレードを強く推奨している。
Continue reading “GitLab の深刻な脆弱性 CVE-2025-6454/2256 などが FIX:DoS と SSRF の可能性”Multiple GitLab Vulnerabilities Enables Account Takeover and Stored XSS Exploitation
2025/08/14 CyberSecurityNews — GitLab が公表したのは、蓄積型 XSS 攻撃やアカウント乗っ取りの可能性が生じる、複数の深刻な脆弱性を修正する緊急セキュリティ・パッチをリリースである。2025年8月13日付けでリリースされた一連のパッチは、GitLab Community Edition(CE)/Enterprise Edition(EE) の、バージョン 18.2.2/18.1.4/18.0.6 へのアップデートを行うものである。
Continue reading “GitLab の複数の脆弱性が FIX:蓄積型 XSS 攻撃とアカウント乗っ取りの可能性”GitLab Security Update – Patch for Multiple Vulnerabilities in Community and Enterprise Edition
2025/07/24 CyberSecurityNews — GitLab が公開したのは、Community Edition (CE)/Enterprise Edition (EE) に存在する、複数の脆弱性に対処する重要なセキュリティ・パッチである。対象となるバージョンは 18.2.1/18.1.3/18.0.5 であり、すでに導入が可能な状態となっている。今回のリリースには、合計で6件の脆弱性に対する修正が取り込まれているが、その中で、最も深刻なものとされるのは、Kubernetes プロキシ機能に深刻なリスクをもたらす、2件のクロスサイト・スクリプティング (XSS) の脆弱性である。
Continue reading “GitLab CE/EE の複数の脆弱性が FIX:情報漏洩/アクセス制御/XSS などの恐れ”GitLab Vulnerabilities Allow Execution of Malicious Actions via Content Injection
2025/07/10 gbhackers — GitLab が公開した、重要なセキュリティ・パッチは、4件の脆弱性に対処するものである。その中に含まれる、高深刻度のクロスサイト・スクリプティング (XSS) の脆弱性を悪用する攻撃者は、悪意のコンテンツ注入を通じてユーザに成りすますという。すでに同社は、Community Edition (CE)/Enterprise Edition (EE) 向けに、バージョン 18.1.2/18.0.4/17.11.6 のリリースし、この問題に対処している。すべてのセルフマネージド環境に対して、GirLab が強く推奨するのは、速やかなアップグレードである。
Continue reading “GitLab の脆弱性 CVE-2025-6948 などが FIX:XSS 攻撃や制限回避の可能性”GitLab patches high severity account takeover, missing auth issues
2025/06/12 BleepingComputer — GitLab が公表したのは、同社の DevSecOps プラットフォームに存在する複数の脆弱性に対処するための、セキュリティ更新プログラムのリリースである。これらの脆弱性を悪用する攻撃者は、アカウントを乗っ取った後に、悪意のジョブのパイプラインへの注入を可能にするという。すでに GitLab は、GitLab Community/Enterprise のバージョン 18.0.2/17.11.4/17.10.8 をリリースし、これらのセキュリティ欠陥に対処している。すべての管理者に対して強く推奨されるのは、早急なアップグレードの実施である。
Continue reading “GitLab Community/Enterprise の複数の脆弱性が FIX:アカウントを乗っ取りなどの恐れ”GitLab Patches High-Severity Flaws: DoS and 2FA Bypass Fixed
2025/05/22 SecurityOnline — GitLab が公表したのは、Community Edition (CE)/Enterprise Edition (EE) に存在する、さまざまな深刻度のセキュリティ脆弱性に、幅広く対応するバージョン 18.0.1/17.11.3/17.10.7 のリリースである。
Continue reading “GitLab の複数の脆弱性が FIX:サービス拒否状態や二要素認証の回避など”GitLab Releases Security Update to Patch XSS and Account Takeover Flaws
2024/04/24 SecurityOnline — GitLab が発表したのは、セルフ・マネージド GitLab 環境の速やかなアップグレードを、ユーザーに求めるセキュリティ・アドバイザリである。このアドバイザリで取り上げられるのは、GitLab Community Edition (CE)/Enterprise Edition (EE) のバージョン 17.11.1/17.10.5/17.9.7 のリリースであり、重要なバグとセキュリティ修正が提供されている。
Continue reading “GitLab の XSS の脆弱性 CVE-2025-1763/2443 などが FIX:XSS によるアカウント乗っ取りの恐れ”GitLab Alert: Patch Now! XSS & Privilege Escalation Risks
2025/03/26 SecurityOnline — GitLab はセキュリティ・アドバイザリを発行し、セルフマネージド GitLab Community Edition (CE) および Enterprise Edition (EE) の全ユーザー対して、最新バージョンである 17.10.1/17.9.3/17.8.6 へと、速やかにアップグレードするよう促している。このアップデートは、クロスサイト・スクリプティング (XSS) の欠陥や権限昇格の問題などの、一連の脆弱性に対処するものである。
Continue reading “GitLab の複数の脆弱性 CVE-2025-2255/0811 などが FIX:XSS や権限昇格の恐れ”GitLab Urgently Patches Critical Authentication Bypass Flaws – CVE-2025-25291 & CVE-2025-25292
2025/03/12 SecurityOnline — GitLab が発表したのは、Community Edition (CE)/Enterprise Edition (EE) に存在するセキュリティ脆弱性を修正するための、新しいバージョン 17.9.2/17.8.5/17.7.7 のリリースである。このリリースは、深刻な認証バイパス脆弱性などの、さまざまなセキュリティ問題に対処するものだ。
Continue reading “GitLab の深刻な脆弱性 CVE-2025-25291/25292 などが FIX:SAML 認証バイパスの恐れ”CVE-2025-0475 & CVE-2025-0555: GitLab’s High-Risk Patch Now
2025/02/26 SecurityOnline — GitLab はセキュリティ・アドバイザリを発行し、すべてのセルフ・マネージド GitLab インストールを、バージョン 17.9.1/17.8.4/17.7. 6へと、直ちにアップグレードするよう求めている。この緊急対応の要請は、機密性の高いユーザー・データを漏洩する可能性のある、深刻度の高いクロス・サイト・スクリプティング (XSS) などの、複数の脆弱性の発見を受けてのものとなる。
Continue reading “GitLab の深刻な脆弱性 CVE-2025-0475/0555 などが FIX:XSS の恐れ”GitLab Patches High-Severity XSS Flaw (CVE-2025-0376) and Other Security Flaws in Latest Release
2025/02/12 SecurityOnline — GitLab が発行したセキュリティ・アドバイザリは、深刻度の高いクロス・サイト・スクリプティング (XSS) などの脆弱性に対処するものであり、ユーザーに対して速やかな更新を促すものである。GitLab Community Edition (CE)/Enterprise Edition (EE) のバージョン 17.8.2/17.7.4/17.6.5 を対象とする、今回のアップデートに取り込まれたのは、合計で9件のセキュリティ問題に対する修正である。
Continue reading “GitLab の深刻な XSS の脆弱性 CVE-2025-0376 などが FIX:その他の6件の欠陥にも対応”CVE-2025-0314: GitLab Releases Patch for XSS Exploit
2025/01/23 SecurityOnline — GitLab が発行したのは、いくつかの脆弱性に対処する重要なセキュリティ・アップデートであり、その中には深刻度の高いクロス・サイト・スクリプティング (XSS) の欠陥も含まれている。すでに GitLab は、Community Edition (CE) と Enterprise Edition (EE) のバージョン 17.8.1/17.7.3/17.6.4 をリリースし、これらの問題に対処している。
Continue reading “GitLab の XSS の脆弱性 CVE-2025-0314 などが FIX:ただちにアップデートを!”GitLab Tackles Critical Security Flaws in Latest Patch Release
2025/01/08 SecurityOnline — 人気の DevOps プラットフォーム GitLab がリリースしたのは、インポート機能やコア機能に影響を及ぼす、複数のセキュリティ脆弱性に対処するパッチアップデートである。すでに GitLab は、バージョン 17.7.1/17.6.3/17.5.5 をリリースしており、ダウンロードとアップグレードが可能になっている。GitLab の HackerOne バグ・バウンティ・プログラムで発見された脆弱性に対して、このパッチはリリースされている。
Continue reading “GitLab の複数の脆弱性が FIX:インポート機能への影響が懸念される”CVE-2024-11274: GitLab Vulnerability Exposes User Accounts
2024/12/11 SecurityOnline — GitLab が公表したのは、Community Edition (CE)/Enterprise Edition (EE) 17.6.2/17.5.4/17.4.6 に影響を及ぼす、複数の脆弱性に対処するセキュリティ・アップデートである。このアップデートで対処される欠陥が悪用されると、アカウント乗っ取り/サービス拒否攻撃/情報漏洩などの、深刻な結果につながる恐れがある。
Continue reading “GitLab CE/EE の脆弱性 CVE-2024-11274 (CVSS 8.7) などが FIX:不正アクセス/DoS の可能性”CVE-2024-8114: GitLab Vulnerability Allows Privilege Escalation
2024/11/26 SecurityOnline — GitLab が公表したのは、Community Edition (CE)/Enterprise Edition (EE) 17.6.1/17.5.3/17.4.5 に影響を及ぼす、6つの脆弱性に対処するセキュリティ・アップデートである。一連の脆弱性の影響を受けるバージョンを使用しているユーザーに対して、同社が推奨するのは、すべてのインストールを最新バージョンへと、可能な限り早急にアップグレードすることである。
Continue reading “GitLab CE/EE の脆弱性 CVE-2024-8114 (CVSS 8.2) などが FIX:特権昇格/DoS の可能性”CVE-2024-9693: GitLab Issues Critical Patch for Kubernetes Agent
2024.11/13 SecurityOnline — GitLab がリリースしたセキュリティ・アップデートは、Kubernetes クラスタへの不正アクセスを許す可能性のある、深刻な脆弱性に対処するものだ。Community Edition (CE)/Enterprise Edition (EE) のバージョン 17.5.2/17.4.4/17.3.7 では、Kubernetes の深刻な脆弱性 CVE-2024-9693 を含む、6件のセキュリティ脆弱性が修正されている。
Continue reading “GitLab CE/EE の脆弱性 CVE-2024-9693 (CVSS 8.5) などが FIX:XSS/DoS 攻撃の可能性”EMERALDWHALE Operation Exposes Over 15,000 Cloud Credentials in Widespread Git Exploit
2024/10/31 SecurityOnline — 世界規模の犯罪組織 EMERALDWHALE が、Git の無防備なコンフィグ・ファイルを悪用し、15,000件以上のクラウド認証情報を盗み出していることが、Sysdig の Threat Research Team (TRT) により発見された。Sysdig TRT のレポートでは、認証情報を漏洩させる大量のミスコンフィグが存在するという、憂慮すべき Web サーバの状況が指摘されている。それらのミスコンフィグは、何千ものプライベート・リポジトリに影響を与え、1つのアカウントが侵害されるごとに、数多くの被害者に損失を与える可能性があるものだ。
Continue reading “新たな犯罪グループ EMERALDWHALE:Git コンフィグ・ファイルからクラウド認証情報を窃取”GitLab Security Alert: CVE-2024-8312 and CVE-2024-6826 Patched
2024/10/23 SecurityOnline — GitLab が公表したのは、Community Edition (CE)/Enterprise Edition (EE) の複数バージョンに影響を及ぼす、2つの脆弱性 CVE-2024-8312/CVE-2024-6826 に対処するセキュリティ・アップデートのリリースである。ユーザーに対して強く推奨されるのは、迅速なアップデートである。これらの脆弱性が悪用されると、XSS 攻撃や DoS 攻撃につながる恐れがある。
Continue reading “GitLab CE/EE の脆弱性 CVE-2024-8312/6826 が FIX:XSS/DoS 攻撃の可能性”OneDev DevOps Platform Patches Critical Security Flaw Exposing Sensitive Data – (CVE-2024-45309)
2024/10/22 SecurityOnline — オープンソース DevOps プラットフォーム OneDev に存在する、深刻なセキュリティ脆弱性 CVE-2024-45309 が発見/修正された。この脆弱性の悪用に成功した未認証の攻撃者は、OneDev サーバ・プロセスを介してアクセスできる、任意のファイルの読み取りを可能にする。それらのファイルとしては想定されるものには、ソース コード/コンフィグ/ユーザー認証情報などがあり、機密情報の漏洩にいたる可能性が生じている。
Continue reading “OneDev の脆弱性 CVE-2024-45309 が FIX:DevOps Platform から機密情報が漏洩する”CVE-2024-9164 (CVSS 9.6): GitLab Users Urged to Update Now
2024/10/09 SecurityOnline — 10月9日に GitLab がリリースした、 Community Edition(CE)/Enterprise Edition(EE) のバージョン 17.4.2/17.3.5/17.2.9 は、いくつかのセキュリティ・アップデートを取り込んだものである。これらのアップデートは、8件の脆弱性に対処するものだが、その中には、深刻度 Critical と評価される、脆弱性 CVE-2024-9164 も含まれている。この脆弱性の悪用に成功した攻撃者は、任意のブランチでパイプラインを実行する可能性を得るため、影響を受けるインスタンスに重大なセキュリティ・リスクが生じる。
Continue reading “GitLab CE/EE の脆弱性 CVE-2024-9164 などが FIX:直ちにアップデートを!”Researchers Detail Ruby-SAML/GitLab Flaw (CVE-2024-45409) Allows SAML Authentication Bypass
2024/10/06 SecurityOnline — GitLab の認証システムに不可欠な、Ruby-SAML/OmniAuth-SAML ライブラリに存在する深刻な脆弱性 CVE-2024-45409 が、ProjectDiscovery の Harsh Jaiswal と Rahul Maini による最近の調査で明らかになった。この脆弱性の悪用に成功した攻撃者は、SAML レスポンス検証の弱点を用いて SAML 認証をバイパスし、不正アクセスを取得する可能性を手にする。
Continue reading “Ruby-SAML/GitLab の脆弱性 CVE-2024-45409 が FIX:認証バイパス PoC が登場”GitLab backports fix for CVE-2024-45409 to older versions
2024/09/25 SecurityOnline — GitLab が 9月25日にリリースしたセキュリティ・アップデートは、GitLab Community Edition(CE)/Enterprise Edition(EE) の全バージョンに影響を与える、深刻な SAML 認証バイパス脆弱性 CVE-2024-45409 に対処するためのものだ。セルフマネージド・インストールの管理者に対して強く推奨されるのは、新たにパッチが適用されたバージョン (16.10.10/16.9.11/16.8.10/16.7.10/16.6.10/16.5.10/16.4.7/16.3.9/16.2.11/16.1.8/16.0.10) へと直ちにアップグレードすることだ。 これらのバージョンに含まれるのは、9月17日に GitLab バージョン 17.x.x/16.11.10 向けにリリースされたセキュリティ修正である。
Continue reading “GitLab の SAML 脆弱性 CVE-2024-45409:セキュリティ修正を拡張”GitLab releases fix for critical SAML authentication bypass flaw
2024/09/18 BleepingComputer — GitLab リリースしたセキュリティ・アップデートは、GitLab Community Edition(CE)/Enterprise Edition(EE) のセルフマネージド・インストールに影響を与える、重大な SAML 認証バイパス脆弱性 CVE-2024-45409 に対処するためのものだ。SAML (Security Assertion Markup Language) とは、ユーザーが同じ認証情報を使用して異なるサービスにログインするための、SSO (Single Sign-On) 認証プロトコルである。脆弱性 CVE-2024-45409 は、GitLab が SAML ベースの認証を処理するために使用している、OmniAuth-SAML/Ruby-SAML ライブラリの問題に起因する。
Continue reading “GitLab CE/EE の SAML 脆弱性 CVE-2024-45409 が FIX:直ちにアップデートを!”Urgent: GitLab Patches Critical Flaw Allowing Unauthorized Pipeline Job Execution
2024/09/11 TheHackerNews — 9月11日に GitLab がリリースしたのは 、17件のセキュリティ脆弱性に対処するためのセキュリティ・アップデートである。その中には、任意のユーザーである攻撃者が、パイプライン・ジョブを実行できる、深刻な脆弱性 CVE-2024-6678 (CVSS:9.9) も含まれている。
Continue reading “GitLab CE/EE の脆弱性 CVE-2024-6678 などが FIX:直ちにアップデートを!”GitLab: Critical bug lets attackers run pipelines as other users
2024/07/10 BleepingComputer — 7月10日に GitLab CE/EE のパッチがリリースされ、6つの脆弱性が修正された。GitLab DevSecOps プラットフォームは、3,000万人以上の登録ユーザーを誇り、T-Mobile/Goldman Sachs/Airbus/Lockheed Martin/Nvidia/UBS などの Fortune 100 の 50%以上で利用されている。修正された脆弱性のうち、最も深刻度が高いものは、攻撃者がユーザーとしてパイプライン・ジョブを実行できる、脆弱性 CVE-2024-6385 (CVSS:9.6) である。
Continue reading “GitLab CE/EE の脆弱性 CVE-2024-6385 などが FIX:直ちにアップデートを!”GitLab Releases Critical Updates to Address Multiple Vulnerabilities
2024/06/26 SecurityOnline — DevOps ライフサイクル・ツールの主要プラットフォームである GitLab は、Community Edition (CE)/Enterprise Edition (EE) 向けのクリティカル・アップデートをリリースした。新バージョンの 17.1.1/17.0.3/16.11.5 には、重要なセキュリティとバグの修正が含まれている。GitLab は全てのユーザーに対して、潜在的な悪用からインストールを保護するため、直ちにアップグレードするよう呼びかけている。
Continue reading “GitLab の緊急アップデート:脆弱性 CVE-2024-5655 (CVSS 9.6) などが FIX”High-severity GitLab flaw lets attackers take over accounts
2024/05/24 BleepingComputer — GitLab が発表したのは、未認証の脅威アクターからのクロス・サイト・スクリプティング (XSS) 攻撃により、ユーザー・アカウントの乗っ取りにいたる可能性のある、深刻度の高い脆弱性へのパッチ適用である。この脆弱性 CVE-2024-4835 は、VS コード・エディタ (Web IDE) における XSS の欠陥であり、悪意を持って細工されたページを介して、制限された情報の窃取を、脅威アクターたちに許すものである。この攻撃は、認証を必要としない脆弱性の悪用により開始するが、その前提としてユーザーとの対話が必要であるため、攻撃の複雑さは高いものとなる。
Continue reading “GitLab の深刻な脆弱性 CVE-2024-4835 が FIX:アカウント乗っ取りの可能性”RSAC: Three Strategies to Boost Open-Source Security
2024/05/08 InfoSecurity — OSS におけるセキュリティ強化は、この種のコミュニティが非公式かつユビキタスであるため、政府にとって重要な課題となっている。ソフトウェア全般にわたって Security-by-Design を推進し、脆弱性の悪用やサプライチェーン・インシデントを減らすという米国政府の取り組みにおいて、OSS は極めて重要な要素になっている。RSA Conference 2024 が、政府関係者と OSS の関係者たちが、このユニークなエコシステムで Security-by-Design の原則を推進する方法について、議論する機会を提供した。
Continue reading “OSS セキュリティを加速:レギュレーション整備/Security-by-Design/AI の活用 – RSA Con”CISA says GitLab account takeover bug is actively exploited in attacks
2024/05/01 BleepingComputer — 5月1日に CISA は、 GitLab の脆弱性 CVE-2023-7028 (CVSS:10.0) を KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性を積極的に悪用する攻撃者たちにより、パスワード・リセットとアカウントの乗っ取りが生じると、同組織は警告している。GitLab は、専有コードや API キーを含む機密データをホストしているため、アカウントが乗っ取りが生じると、深刻な事態に陥る可能性がある。この脆弱性の悪用に成功した攻撃者は、CI/CD (Continuous Integration/Continuous Deployment) 環境に悪意のコードを挿入し、リポジトリを侵害するサプライチェーン攻撃を実行する可能性がある。
Continue reading “CISA KEV 警告 24/05/01:GitLab の脆弱性 CVE-2023-7028 を KEV に追加”Urgent GitLab Update Patches Account Takeover Flaw, Other High-Severity Bugs
2024/04/24 SecurityOnline — 先日の GitLab セキュリティ・リリースで対処されたのは、広範なコード・リポジトリや開発ワークフローに影響を及ぼす可能性のある一連の脆弱性である。それらの脆弱性の悪用に成功した攻撃者は、リソース消耗によりサービス拒否から、完全なアカウント乗っ取りに至るまでの、さまざまな攻撃を引き起こす可能性を持つ。GitLab を利用している組織にとって、バージョン 16.11.1/16.10.4/16.9.6 へのアップグレードは必須である。
Continue reading “GitLab の深刻な脆弱性が FIX:アカウントの乗っ取りにいたる可能性も”GitLab affected by GitHub-style CDN flaw allowing malware hosting
2024/04/22 BleepingComputer — 先日に BleepingComputer は、GitHub の欠陥 (あるいは設計上の仕様) を悪用する脅威アクターが、Microsoft のリポジトリに関連付けられた URL を介して、信頼できるファイルを装いながら、マルウェアを配布していることを報告した。この問題は、GitLab に対しても影響を及ぼすものであり、同様の方法で悪用される可能性が生じることが判明した。このマルウェアに関連する活動の大半は、Microsoft GitHub の URL に基づくものだった。しかしこの “欠陥” は、GitHub や GitLab の、あらゆる公開リポジトリで悪用が可能であり、きわめて説得力のあるルアーを、脅威アクターたちは作成できるという。
Continue reading “GitLab にも GitHub スタイルの コメント悪用の問題:マルウェアのホスティングが容易になる”GitLab Races to Fix Critical XSS Flaws – Don’t Delay Your Upgrade
2024/04/10 SecurityOnline — コードコラボレーションとプロジェクト管理のための DevOps プラットフォームとして広く利用されている GitLab が、重要なセキュリティ・アップデートとして 16.10.2/16.9.4/16.8.6 をリリースした。このリリースで対処された複数の欠陥のうち、最も深刻なものは、蓄積型クロスサイトスクリプティング (XSS) の脆弱性である。これらの脆弱性の悪用に成功した攻撃者は、ユーザー・セッションの乗っ取りや、機密データの窃取を可能にし、さらには、標的システム内での攻撃のための足場を構築する可能性もあるという。
Continue reading “GitLab の4件の脆弱性が FIX:XSS および Dos が発生する可能性”GitLab Patches Vulnerabilities, Users Urged to Update Immediately
2024/03/28 SecurityOnline — 人気の DevOps プラットフォームである GitLab において、 Git Management Software バージョン 16.10.1/16.9.3/16.8.5 用の重要なセキュリティ・アップデートがリリースされた。これらのパッチで対処された脆弱性は、悪意のコードの実行から、システムの停止にいたる攻撃を引き起こし、ユーザーを危険にさらす可能性を持つものだ。
Continue reading “GitLab の脆弱性 CVE-2023-6371/CVE-2024-2818 が FIX:ただちにパッチを!”URGENT: Upgrade GitLab – Critical Workspace Creation Flaw Allows File Overwrite
2024/01/30 TheHackerNews — GitLab は、Community Edition (CE)/Enterprise Edition (EE) に、深刻なセキュリティ上の欠陥があるとして、修正プログラムを再度リリースした。この問題とは、ワークスペース作成時に、任意のファイルを書き込まれる可能性が生じるものだ。この脆弱性 CVE-2024-0402 の深刻度は、CVSS:9.9 と評価されている。
Continue reading “GitLab の緊急アップデート:CVSS 9.9 の脆弱性 CVE-2024-0402 を FIX”Over 5,300 GitLab servers exposed to zero-click account takeover attacks
2024/01/24 BleepingComputer — 2024年1月に発見された、GitLab のゼロクリック・アカウント乗っ取りの脆弱性 CVE-2023-7028 (CVSS:10.0) の脆弱性だが、インターネット上に公開されている 5,300 以上のインスタンスで放置されていることが判明した。この脆弱性の悪用に成功した攻撃者は、標的アカウントのパスワード再設定メールを自身が管理するメールアドレスに送信させ、パスワードを変更して対象のアカウントを乗っ取ることが可能になる。
Continue reading “GitLab の深刻な脆弱性 CVE-2023-7028:5,300 台のインスタンスが危険な状態”CVE-2023-7028 & 5356: GitLab Addresses Account Takeover & Command Flaws
2024/01/11 SecurityOnline — 進化し続けるサイバー脅威の状況に対応するために、DevOps 分野で有名な GitLab が、先日に一連の重大な脆弱性を修正した。今回のアップデートで修正された脆弱性には、Critical なものとして CVE-2023-7028/CVE-2023-5356 があるが、その他にも3件の脆弱性が修正されている。
Continue reading “GitLab の深刻な脆弱性 CVE-2023-7028/CVE-2023-5356 などが FIX:直ちにアップデートを!”StripedFly malware framework infects 1 million Windows, Linux hosts
2023/10/26 BleepingComputer — StripedFly と名付けられた洗練されたクロスプラットフォーム・マルウェアが、サイバー・セキュリティ研究者たちの検知を5年間にわたり回避し、100万台以上の Windows/Linux システムに感染しているという。2022年に Kaspersky は、この悪質なフレームワークの正体を突き止め、2017年 から活動している証拠を発見した。アナリストたちは StripedFly の特徴について、洗練された TOR ベースのトラフィック隠蔽メカニズム、および、信頼できるプラットフォームからの自動アップデート、ワームのような拡散能力、脆弱性の公開前に作成されたカスタム EternalBlue SMBv1 エクスプロイトなどを列挙し、印象的なものであると述べている。
Continue reading “StripedFly という APT:5年間で 100万台以上の Windows/Linux システムに感染”‘Culturestreak’ Malware Lurks Inside GitLab Python Package
2023/09/20 DarkReading — 現在の脅威の状況において、あまりにも有りふれたことだが、新たな悪意のオープンソース・パッケージが、セキュリティ研究たちにより発見された。今回は、暗号通貨をマイニングするために、システム・リソースのハイジャックを試みる、GitLab 上のアクティブな Python ファイルである。この、Culturestreak と呼ばれる悪意のパッケージが、GitLab 開発者サイト上の Aldri Terakhir というユーザーのアクティブなリポジトリから発信されていることを、9月19日の Checkmarx ブログが明らかにした。
Continue reading “Culturestreak というクリプト・マイナー:GitLab Python に潜んでいる”GitLab urges users to install security updates for critical pipeline flaw
2023/09/19 BleepingComputer — スケジュールされたセキュリティ・スキャン・ポリシーを悪用する攻撃者が、他のユーザーを装いながらパイプライン実行を可能にする、深刻な脆弱性に対処するセキュリティアップデートを、GitLab がリリースした。GitLab は、Web ベースの OSS プロジェクト管理および作業トラッキングのための、人気のプラットフォームであり、無料版と商用版を提供している。この脆弱性 CVE-2023-5009 (CVSS:9.6) は、GitLab Community Edition (CE)/Enterprise Edition (EE) の、バージョン 13.12〜16.2.7 と、バージョン 16.3〜16.3.4に影響を与える。
Continue reading “GitLab パイプラインの脆弱性 CVE-2023-5009:ハイリスク・シナリオの可能性”Proxyjacking and Cryptomining Campaign Targets GitLab
2023/08/18 InfoSecurity — LABRAT と呼ばれる、金銭的な動機に基づく新たなオペレーションが、Sysdig のセキュリティ研究者たちにより発見された。このキャンペーンの目的は、クリプト・マイニングとプロキシ・ジャッキングで利益を得ることであり、様々なテクニックを使って身を潜めるように設計されている。プロキシ・ジャッキングとは、攻撃手法の1つであり、攻撃者が被害者のシステムを侵害して、不正な操作などを行うものだ。LABRAT のオペレーターは、既知の GitLab のリモート・コード実行の脆弱性 CVE-2021-22205 を悪用して、標的のコンテナを侵害していた。
Continue reading “LABRAT というキャンペーン:GitLab の脆弱性 CVE-2021-22205 を悪用してシステムに侵入”GitLab ‘strongly recommends’ patching max severity flaw ASAP
2023/05/24 BleepingComputer — GitLab に存在する、深刻なパストラバーサルの脆弱性 CVE-2023-2825 (CVSS:10.0) の欠陥に対処するために、緊急セキュリティ・アップデートであるバージョン 16.0.1 がリリースされた。リモートでコードを管理する必要がある、開発者チーム向けの Web ベース Git リポジトリである GitLab は、約3000万人の登録ユーザーと100万人の有料顧客を有している。
Continue reading “GitLab の深刻な脆弱性 CVE-2023-2825:Ver 16.0.0 ユーザーは直ちにアップデートを!”ETIC 2023: CISA Developing SBOM Ecosystem for Open-Source Software Visibility
2023/05/08 FedTechMagazine — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、ソフトウェア・プログラミングの基礎であるライブラリ/バージョン/コンポーネントの可視性を高めるために、企業が公開する SBOM (Software Bill Of Materials) のエコシステムを推進している。ACT-IAC の Emerging Technology and Innovation Conference において、CISA の Technical Director for Cyber である Christopher Butera は、今後の SBOM ガイダンスが詳細なレベルで実現するためには、ベンダーからのフィードバックが必要だと述べている。
Continue reading “SBOM エコシステムを CISA が推進:OSS の可視性を高めていく – ETIC 2023”Google delivers secure open source software packages
2023/04/13 HelpNetSecurity — Google が発表したのは、セキュアなオープンソース・パッケージの信頼できるソースを目指す Google Cloud Assured Open Source Software (Assured OSS) サービスと、5000 万以上のオープンソース・パッケージ・バージョンのセキュリティ・メタデータへのアクセスを提供する deps.dev API である。この Assured OSS により、Google が使用するセキュリティ保護されている OSS パッケージと同じものを、開発者のワークフローに組み込む機会を、Google はユーザー組織に提供する。
Continue reading “Google が発表した Assured OSS サービス:Java/Python エコシステムからサポートを開始”Git patches two critical remote code execution security flaws
2023/01/17 BleepingComputer — GitLab が、2つの深刻なセキュリティ脆弱性に対してパッチを適用した。それらは、ヒープバッファ・オーバーフローに起因するものであり、悪用に成功した攻撃者に、任意のコード実行を許すものである。3つ目の Windows 固有の脆弱性は、信頼できない検索パスに起因するものであり、Git GUI ツールに影響を及ぼす。未認証の脅威者に対して、信頼できないコードを、容易に実行させる可能を持つ。最初の2つの脆弱性である CVE-2022-41903 (commit formatting mechanism) と、CVE-2022-23521 (gitattributes parser) に関しては、v2.30.7 によりパッチが適用されている。
Continue reading “GitLab の深刻な脆弱性 CVE-2022-41903/CVE-2022-23521 が FIX:RCE の可能性”
IoT OT Security News 
You must be logged in to post a comment.