GitLabは、複数の脆弱性に対処するためのクリティカルアップデートをリリースした。最も深刻な脆弱性(CVE-2024-6678)は、攻撃者が特定の条件下で任意のユーザーとしてパイプラインをトリガーできるようにするものだ。
今回のリリースは、GitLab Community Edition (CE)とEnterprise Edition (EE)のバージョン17.3.2、17.2.5、17.1.7が対象で、隔月(予定)のセキュリティアップデートの一部として、合計18件のセキュリティ問題をパッチしている。
重要度スコアが9.9のCVE-2024-6678の脆弱性は、攻撃者が停止アクションのジョブの所有者として環境停止アクションを実行できる可能性があります。
この脆弱性の深刻度は、リモートから悪用される可能性があること、ユーザーによる操作がないこと、悪用に必要な権限が低いことに起因しています。
GitLabは、この問題がCE/EEバージョン8.14から17.1.7まで、17.2から17.2.5まで、17.3から17.3.2までに影響すると警告している。
GitLabパイプラインは、コードのビルド、テスト、デプロイに使用される自動化されたワークフローで、GitLabのCI/CD(継続的インテグレーション/継続的デリバリー)システムの一部です。
繰り返しの作業を自動化し、コードベースへの変更が一貫してテストされデプロイされるようにすることで、ソフトウェア開発プロセスを合理化するように設計されています。
GitLabは、2024年7月にCVE-2024-6385を、2024年6月にCVE-2024-5655を、2023年9月にCVE-2023-5009を修正するなど、ここ数カ月で複数回、任意のパイプライン実行の脆弱性に対処しており、いずれも「クリティカル」と評価されている。
また、攻撃者がサービスを中断させたり、不正なコマンドを実行させたり、機密リソースを侵害したりする可能性がある、スコアが6.7~8.5の4つの深刻度の高い問題もリストアップされている。問題の概要は以下の通り:
- CVE-2024-8640: 不適切な入力フィルタリングにより、攻撃者が YAML 設定を介して接続中の Cube サーバにコマンドを注入し、データの整合性を損なう可能性があります。16.11 以降の GitLab EE に影響します。
- CVE-2024-8635: 攻撃者は、カスタム Maven Dependency Proxy URL を細工して内部リソースにリクエストを行うことで、Server-Side Request Forgery (SSRF) の脆弱性を悪用し、内部インフラを侵害する可能性があります。16.8 以降の GitLab EE に影響します。
- CVE-2024-8124: 攻撃者が大きな ‘glm_source’ パラメータを送信することで DoS 攻撃を引き起こす可能性があります。16.4 以降の GitLab CE/EE に影響します。
- CVE-2024-8641: 攻撃者が CI_JOB_TOKEN を悪用して被害者の GitLab セッショントークンにアクセスし、セッションを乗っ取ることが可能です。13.7 以降の GitLab CE/EE に影響します。
アップデートの手順、ソースコード、パッケージについては、GitLabの公式ダウンロードポータルをチェックしてください。最新のGitLab Runnerパッケージはこちらから。
Comments