GitLabは1月11日(米国時間)、「GitLab Critical Security Release: 16.7.2, 16.6.4, 16.5.6|GitLab」において、GitリポジトリマネージャのGitLab Community Edition(CE)およびEnterprise Edition(EE)に対するクリティカルセキュリティリリースを発表した。このリリースでは合計5つの脆弱性が修正されており、それらのうち2つの深刻度は緊急(Critical)と評価されている。これら脆弱性が悪用されると、ユーザーの関与なしにパスワードがリセットされ、アカウントが乗っ取られる可能性がある。

  • GitLab Critical Security Release: 16.7.2、16.6.4、16.5.6|GitLab

    GitLab Critical Security Release: 16.7.2, 16.6.4, 16.5.6|GitLab

脆弱性を抱えているバージョン、脆弱性が修正されたバージョン

クリティカルセキュリティリリースの対象となる製品およびバージョンは次のとおり。

  • GitLab CE/EEバージョン16.1から16.1.5
  • GitLab CE/EEバージョン16.2から16.2.8
  • GitLab CE/EEバージョン16.3から16.3.6
  • GitLab CE/EEバージョン16.4から16.4.4
  • GitLab CE/EEバージョン16.5から16.5.5
  • GitLab CE/EEバージョン16.6から16.6.3
  • GitLab CE/EEバージョン16.7から16.7.1

脆弱性が修正された製品およびバージョンは次のとおり。

  • GitLab CE/EEバージョン16.5.6
  • GitLab CE/EEバージョン16.6.4
  • GitLab CE/EEバージョン16.7.2

修正された脆弱性の情報

修正された脆弱性の情報は次のとおり。

  • CVE-2023-7028 :ユーザーアカウントのパスワード再設定メールが検証されていないアドレスに配信される可能性がある
  • CVE-2023-5356:不正な権限検証の不具合。攻撃者はslack/mattermost統合機能を悪用し、別のユーザーとしてスラッシュコマンドを実行する可能性がある
  • CVE-2023-4812:以前に承認されたマージリクエストに変更を追加することで、CODEOWNERSの承認を回避できる
  • CVE-2023-6955:不適切なアクセス制御の不具合。攻撃者はグループのワークスペースを別のグループのエージェントに関連付けて作成することができる
  • CVE-2023-2030:署名付きコミットのメタデータを変更できる可能性がある

脆弱性への対策

GitLabはこれら脆弱性を修正するため、次の手順に従って速やかにアップデートすることを推奨している。

  • GitLabは一度に最新版にアップデートすることはできない。「Upgrade paths」にて公開されている情報から中継する必要のあるバージョンを確認する
  • バージョンごとのアップデート手順「Version-specific upgrading instructions」に従ってアップデートを実施する

GitLabは上記のアップデートに加え、管理者アカウントや特権ユーザーに対する二要素認証(2FA: Two-Factor Authentication)の有効化を推奨している。今回修正された脆弱性「CVE-2023-7028」におけるアカウント乗っ取りにおいて、二要素認証が有効になっているアカウントはパスワードをリセットされても侵害を回避できる可能性がある。攻撃からアカウントを保護するため、この追加の対策を実施することが望まれている。