GitLab – IoT OT Security News

SBOM エコシステムを CISA が推進：OSS の可視性を高めていく – ETIC 2023

ETIC 2023: CISA Developing SBOM Ecosystem for Open-Source Software Visibility

2023/05/08 FedTechMagazine — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、ソフトウェア・プログラミングの基礎であるライブラリ／バージョン／コンポーネントの可視性を高めるために、企業が公開する SBOM (Software Bill Of Materials) のエコシステムを推進している。ACT-IAC の Emerging Technology and Innovation Conference において、CISA の Technical Director for Cyber である Christopher Butera は、今後の SBOM ガイダンスが詳細なレベルで実現するためには、ベンダーからのフィードバックが必要だと述べている。

Google が発表した Assured OSS サービス：Java／Python エコシステムからサポートを開始

Google delivers secure open source software packages

2023/04/13 HelpNetSecurity — Google が発表したのは、セキュアなオープンソース・パッケージの信頼できるソースを目指す Google Cloud Assured Open Source Software (Assured OSS) サービスと、5000 万以上のオープンソース・パッケージ・バージョンのセキュリティ・メタデータへのアクセスを提供する deps.dev API である。この Assured OSS により、Google が使用するセキュリティ保護されている OSS パッケージと同じものを、開発者のワークフローに組み込む機会を、Google はユーザー組織に提供する。

GitLab の深刻な脆弱性 CVE-2022-41903／CVE-2022-23521 が FIX：RCE の可能性

Git patches two critical remote code execution security flaws

2023/01/17 BleepingComputer — GitLab が、２つの深刻なセキュリティ脆弱性に対してパッチを適用した。それらは、ヒープバッファ・オーバーフローに起因するものであり、悪用に成功した攻撃者に、任意のコード実行を許すものである。３つ目の Windows 固有の脆弱性は、信頼できない検索パスに起因するものであり、Git GUI ツールに影響を及ぼす。未認証の脅威者に対して、信頼できないコードを、容易に実行させる可能を持つ。最初の２つの脆弱性である CVE-2022-41903 (commit formatting mechanism) と、CVE-2022-23521 (gitattributes parser) に関しては、v2.30.7 によりパッチが適用されている。

GitLab の深刻な脆弱性 CVE-2022-2884 が FIX：認証済みの攻撃者による RCE

GitLab fixed a critical Remote Code Execution (RCE) bug in CE and EE releases

2022/08/23 SecurityAffairs — DevOps プラットフォームの GitLab は、GitLab Community Edition (CE) および Enterprise Edition (EE) に影響を及ぼす、深刻なリモートコード実行の脆弱性 CVE-2022-2884 (CVSS 9.9) を修正する、セキュリティ・アップデートをリリースした。攻撃者が認証されている場合には、GitHub の Import API を介して、この脆弱性の悪用が可能となる。

GitLab のアカウント乗っ取りの脆弱性 CVE-2022-1680 が FIX：速やかなアップデートを推奨

GitLab Issues Security Patch for Critical Account Takeover Vulnerability

2022/06/03 TheHackerNews — GitLab は、同社のサービスに存在する、アカウントを乗っ取りにいたる可能性のある、申告なセキュリティ欠陥に対処するための措置を講じた。この脆弱性 CVE-2022-1680 (CVSS：9.9) は、GitLab 内部で発見されたものであり、GitLab Enterprise Edition (EE) の 11.10〜14.9.5／14.10〜14.10.4／15.0〜15.0.1 の、すべてのバージョンに影響を及ぼるとされる。

GitLab に深刻なアカウント乗っ取りの脆弱性：管理者に推奨される対策とは？

Critical GitLab vulnerability lets attackers take over accounts

2022/04/01 BleepingComputer — GitLab は、ハードコードされたパスワードを使用するリモートの攻撃者に、ユーザー・アカウントの乗っ取りを許してしまう、深刻な脆弱性に対処した。この脆弱性 CVE-2022-1162 は、GitLab Community Edition (CE) と Enterprise Edition (EE) の双方に影響をおよぼす。具体的に言うと、GitLab CE/EE で OmniAuth ベースで登録を行う際の、誤って設定された静的なパスワードに起因している。

Microsoft が Lapsus$ ハッキングを認める：Bing などのソースコードにアクセス

Microsoft confirms they were hacked by Lapsus$ extortion group

2022/03/22 BleepingComputer — Microsoft は、同社の従業員１名のアカウントが Lapsus$ にハッキングされ、この脅威アクターによる、同社のソースコードの一部へのアクセス／窃取が生じたことを認めた。昨夜、Lapsus$ ランサムウェアは、Microsoft の Azure DevOps サーバーから盗み出した 37GB のソースコードを公開した。このソースコードは、Bing／Cortana／Bing Maps などの、同社の様々なプロジェクトに関わるものである。

Linux Polkit の深刻な脆弱性 CVE-2021-4034：PoC エクスプロイトが登場？

Linux system service bug gives root on all major distros, exploit released

2022/01/25 BleepingComputer — Polkit の pkexec コンポーネントには、脆弱性 CVE-2021-4034 が存在し、また、主要な Linux ディストリビューションのデフォルト設定に含まれているという。CVE-2021-4034 は PwnKit と名付けられ、その起源は 12年以上前の pkexec の最初のコミットまで追跡されており、すべての Polkit バージョンが影響を受けることになる。

OWASP Top-10 2021 Draft：Web アプリへの脅威をカテゴライズ

OWASP shakes up web app threat categories with release of draft Top 10

2021/09/09 DailySwig — Open Web Application Security Project (OWASP) は、2021年の Top-10 リストのドラフトを発表し、現代の脅威の分類方法を一新した。9月8日の発表で OWASPは、ピア・レビュー／コメント／翻訳・改善の提案を目的とする、Top 10 Web Application Security Threats for 2021 のドラフトを公開したと述べている。