Wallarmレポート:GitLabが重大なセキュリティー欠陥CVE-2024-5655を修正

Wallarmレポート:GitLabが重大なセキュリティー欠陥CVE-2024-5655を修正

Wallarmは、GitLabのCommunityおよびEnterprise Edition製品における重大なセキュリティー脆弱性に関する最新レポートを発表した。この脆弱性は、広く使用されているDevOpsプラットフォームのユーザーに重大なリスクをもたらす。

GitLabのCommunityおよびEnterprise Edition製品に重大なセキュリティー上の欠陥が最近発見され、世界中のユーザーの間で懸念が高まっている。著名なウェブベースのDevOpsプラットフォームであるGitLabは、ソフトウェア開発、バージョン管理、プロジェクト管理のための包括的なツールスイートを提供している。しかし、CVE-2024-5655として特定された脆弱性により、これらのツールのセキュリティーが侵害され、攻撃者が任意のユーザーの認証情報でパイプラインを実行できるようになる可能性がある。

このセキュリティー上の欠陥は、深刻度が10段階中9.6と評価されており、GitLab CE/EEバージョン15.8から16.11.4、17.0.0から17.0.2、および17.1.0に影響する。この脆弱性は、特定の条件下で悪用される可能性があり、攻撃者は別のユーザーになりすましてパイプラインを開始できる。これにより、システム内での不正な操作が引き起こされ、機密データやシステム全体の整合性が損なわれる可能性がある。脆弱性の深刻度を考えると、悪用を防ぎ、影響を受けるGitLabインスタンスのセキュリティーを確保するには、直ちに修復することが重要だ。

この脆弱性の発見を受けて、GitLabはバージョン17.1.1、17.0.3、16.11.5のパッチ更新をリリースした。同社は、悪用されるリスクを軽減するために、ユーザーにこれらの更新を速やかにインストールするよう呼びかけている。GitLabコミュニティーは、セキュリティー衛生を良好に保つことの重要性を強調しており、全ての顧客に対して、サポートされているバージョンの最新のパッチリリースにアップグレードすることを推奨している。

ただし、ユーザーは、これらの更新によって2つの重要な変更が導入されることを認識する必要がある。まず、以前のターゲットブランチがマージされた後にマージ リクエストが再ターゲットされたときに、パイプラインが自動的に実行されなくなる。ユーザーは、変更に対してCIを実行するために、パイプラインを手動で開始する必要がある。次に、バージョン17.0.0以降、GraphQL認証のCI_JOB_TOKENはデフォルトで無効になっている。この変更は、バージョン17.0.3および16.11.5にバックポートされている。ユーザーは、GraphQL APIにアクセスするための認証に、サポートされているトークンタイプのいずれかを構成する必要がある。

重大な脆弱性に加えて、最新のGitLabアップデートでは、13件の追加問題に対するセキュリティー修正も行われ、そのうち3件は重大度が「高」と評価されている。これには、保存されたXSSの脆弱性、GraphQL APIのCSRFの脆弱性、GitLabのグローバル検索機能の認証の欠陥が含まれる。これらの脆弱性により、不正なアクション、データ操作、機密データへの不正アクセスが発生する可能性がある。

これらの脆弱性の発見は、定期的なシステム更新と適切なセキュリティー衛生の維持の重要性をハイライトしている。ユーザーは、システムとデータのセキュリティーを確保するために、最新のGitLabアップデートを速やかにインストールすることが推奨される。

出典:Wallarm

この製品の詳細については、Wallarm製品ページをご覧ください。

You've successfully subscribed to DXable News
Great! Next, complete checkout to get full access to all premium content.
Welcome back! You've successfully signed in.
Unable to sign you in. Please try again.
Success! Your account is fully activated, you now have access to all content.
Error! Stripe checkout failed.
Success! Your billing info is updated.
Billing info update failed.
Dark Light