GitLabは1月11日(米国時間)、「GitLab Critical Security Release: 16.7.2, 16.6.4, 16.5.6|GitLab」において、GitリポジトリマネージャのGitLab Community Edition(CE)およびEnterprise Edition(EE)に対するクリティカルセキュリティリリースを発表した。このリリースでは合計5つの脆弱性が修正されており、それらのうち2つの深刻度は緊急(Critical)と評価されている。これら脆弱性が悪用されると、ユーザーの関与なしにパスワードがリセットされ、アカウントが乗っ取られる可能性がある。
脆弱性を抱えているバージョン、脆弱性が修正されたバージョン
クリティカルセキュリティリリースの対象となる製品およびバージョンは次のとおり。
- GitLab CE/EEバージョン16.1から16.1.5
- GitLab CE/EEバージョン16.2から16.2.8
- GitLab CE/EEバージョン16.3から16.3.6
- GitLab CE/EEバージョン16.4から16.4.4
- GitLab CE/EEバージョン16.5から16.5.5
- GitLab CE/EEバージョン16.6から16.6.3
- GitLab CE/EEバージョン16.7から16.7.1
脆弱性が修正された製品およびバージョンは次のとおり。
- GitLab CE/EEバージョン16.5.6
- GitLab CE/EEバージョン16.6.4
- GitLab CE/EEバージョン16.7.2
修正された脆弱性の情報
修正された脆弱性の情報は次のとおり。
- CVE-2023-7028 :ユーザーアカウントのパスワード再設定メールが検証されていないアドレスに配信される可能性がある
- CVE-2023-5356:不正な権限検証の不具合。攻撃者はslack/mattermost統合機能を悪用し、別のユーザーとしてスラッシュコマンドを実行する可能性がある
- CVE-2023-4812:以前に承認されたマージリクエストに変更を追加することで、CODEOWNERSの承認を回避できる
- CVE-2023-6955:不適切なアクセス制御の不具合。攻撃者はグループのワークスペースを別のグループのエージェントに関連付けて作成することができる
- CVE-2023-2030:署名付きコミットのメタデータを変更できる可能性がある
脆弱性への対策
GitLabはこれら脆弱性を修正するため、次の手順に従って速やかにアップデートすることを推奨している。
- GitLabは一度に最新版にアップデートすることはできない。「Upgrade paths」にて公開されている情報から中継する必要のあるバージョンを確認する
- バージョンごとのアップデート手順「Version-specific upgrading instructions」に従ってアップデートを実施する
GitLabは上記のアップデートに加え、管理者アカウントや特権ユーザーに対する二要素認証(2FA: Two-Factor Authentication)の有効化を推奨している。今回修正された脆弱性「CVE-2023-7028」におけるアカウント乗っ取りにおいて、二要素認証が有効になっているアカウントはパスワードをリセットされても侵害を回避できる可能性がある。攻撃からアカウントを保護するため、この追加の対策を実施することが望まれている。