eSecurity Planetは8月25日(米国時間)、「GitLab Patches Critical RCE in Community and Enterprise Editions|eSecurityPlanet」において、GitLabがリモートコマンド実行の脆弱性を修正するセキュリティアップデートをリリースしたと伝えた。この脆弱性が悪用されると、悪意を持った攻撃者にってリモートから任意のコマンドを実行され、標的のシステムを乗っ取られる危険性がある。

該当する脆弱性はCVE-2022-2884として追跡されており、詳細はGitLabによる次のリリースノートにまとめられている。

  • GitLab Critical Security Release: 15.3.1、15.2.3、15.1.5|GitLab

    GitLab Critical Security Release: 15.3.1, 15.2.3, 15.1.5 | GitLab

GitLab Community Edition(CE)およびEnterprise Edition(EE)の次のバージョンがこの脆弱性の影響を受けるとされている。

  • バージョン15.3以降で、15.3.1より前のすべてのバージョン
  • バージョン15.2以降で、15.2.3より前のすべてのバージョン
  • バージョン11.3.4以降で、15.1.5より前のすべてのバージョン

リリースノートによると、影響を受けるバージョンには、認証されたユーザがGitHub APIのエンドポイントからのインポート機能を悪用して任意のコマンドを渡すことができる問題が含まれているという。悪意を持ったユーザーが、この問題を利用することでリモートから任意のコマンドを実行することが可能となる。CVE-2022-2884のCVSS v3のベーススコアは10段階評価中の"9.9"で、極めて深刻度の高い脆弱性とされている。

該当するバージョンのGitLabを使用している場合、それぞれ次のバージョンにアップデートすることで脆弱性の影響を回避することができる。

  • バージョン15.3.1
  • バージョン15.2.3
  • バージョン15.1.5

パブリックサービスであるGitLab.comに対してはすでにパッチが適用されているとのことだが、独自にGitLabをインストールして使用しているユーザーは独自に対策を実施する必要がある。GitLabでは、影響を受けるバージョンを使用しているユーザーおよび管理者に対して、早急にアップデートを実施することを推奨している。