GitLabの脆弱性が積極的に悪用されていることが判明、アップデートを
マイナビニュース / 2024年5月7日 7時36分
米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)はこのほど、「CISA Adds One Known Exploited Vulnerability to Catalog|CISA」において、GitLabの脆弱性「CVE-2023-7028」が積極的に悪用されているとして「既知の脆弱性カタログ(KEV: Known Exploited Vulnerability catalog)」に追加したと発表した。
○脆弱性「CVE-2023-7028」の概要
GitLabの脆弱性「CVE-2023-7028」は、ユーザーアカウントのパスワード再設定メールが検証されていないアドレスに配信される可能性がある脆弱性とされる。この脆弱性を悪用されると、ユーザーの関与を必要とせずに攻撃者にアカウントを乗っ取られる可能性がある。
○脆弱性の影響を受ける製品
脆弱性の影響を受ける製品およびバージョンは次のとおり。
GitLab CE/EEバージョン16.1から16.1.5
GitLab CE/EEバージョン16.2から16.2.8
GitLab CE/EEバージョン16.3から16.3.6
GitLab CE/EEバージョン16.4から16.4.4
GitLab CE/EEバージョン16.5から16.5.5
GitLab CE/EEバージョン16.6から16.6.3
GitLab CE/EEバージョン16.7から16.7.1
○脆弱性を修正した製品
脆弱性を修正した製品およびバージョンは次のとおり。
GitLab CE/EEバージョン16.5.6
GitLab CE/EEバージョン16.6.4
GitLab CE/EEバージョン16.7.2
○対策
この脆弱性はこれまで積極的な悪用は確認されていなかった(参考:「GitLabサーバーの脆弱性、日本も149台に影響 - アップデートを | TECH+(テックプラス)」)。しかしながら、今回積極的な悪用が確認されたため、ユーザーには速やかなアップデートが推奨されている。
なお、GitLabは一度に最新版にアップデートすることはできない。「Upgrade paths」にて公開されている情報から中継する必要のあるバージョンを確認し、バージョンごとのアップデート手順「Version-specific upgrading instructions」に従ってアップデートを実施する必要がある。
また、今回指摘された脆弱性(CVE-2023-7028)によるアカウント乗っ取りは、二要素認証(2FA: Two-Factor Authentication)を有効にすることで侵害を回避できる可能性がある。攻撃からアカウントを保護するために、この追加の対策を実施することが望まれている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
Google Chromeに脆弱性、エクスプロイト確認済み - すぐに更新を
マイナビニュース / 2024年5月15日 13時41分
-
軽量HTTP/HTTPSプロキシーデーモンの「Tinyproxy」に緊急の脆弱性
マイナビニュース / 2024年5月9日 12時31分
-
WordPress Automatic Plugin狙う攻撃を550万件以上確認、アップデートを
マイナビニュース / 2024年4月29日 18時20分
-
NETGEARの複数のルータに脆弱性、アップデートを
マイナビニュース / 2024年4月25日 13時14分
-
iPhoneのLINEアプリに脆弱性、アップデートを
マイナビニュース / 2024年4月21日 17時13分
ランキング
-
1「現場を知らなすぎ」 政府広報が投稿「令和の給食」写真に批判続出…… 識者が指摘した“学校給食の問題点”
ねとらぼ / 2024年5月18日 7時30分
-
2「Lenovo LOQ 15IRX9」レビュー、17万円で最新パーツ搭載・フルHDゲームを快適に楽しめるゲーミングノートPC
マイナビニュース / 2024年5月19日 8時0分
-
3ダイソーで110円の「スマートフォンレンズセット」を半信半疑で試してみる 「魚眼」は実用可能
ITmedia Mobile / 2024年5月19日 11時30分
-
4『HUNTER×HUNTER』の冨樫義博がXで怒り 立て続く“誤配”で「三度目です」「次はもう知らん」
ねとらぼ / 2024年5月18日 16時57分
-
5FC版『ドラクエ』のローラ姫はナゼさらわれた? 「めとるため」とはいえないワケ
マグミクス / 2024年5月18日 21時25分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください