GitLabが高Severityのアカウント乗っ取り脆弱性を修正

GitLab、人気のオンラインDevOpsプラットフォームは、認証されていない攻撃者によるクロスサイトスクリプティング（XSS）攻撃によるアカウントの乗っ取りを含む複数の重大な脆弱性に対処するため、Community Edition（CE）およびEnterprise Edition（EE）の緊急セキュリティアップデートをリリースしました。

高Severityのアカウント乗っ取り脆弱性

最も深刻な脆弱性、CVE-2024-4835（CVSS 8.0）は、gitlab.comのVSコードエディタ（Web IDE）におけるXSS脆弱性であり、攻撃者が悪意のあるページを作成して機密ユーザー情報を抽出し、完全なアカウント乗っ取りにつながる可能性があります。

成功した悪用には認証は必要ありませんが、ユーザーの操作が必要であり、攻撃の複雑さが増します。

セキュリティ研究者のmatanberは、この問題を発見し、HackerOneバグバウンティプラットフォームを通じてGitLabに報告しました。これは2024年5月22日に、バージョン17.0.1、16.11.3、および16.10.6で修正されました。

「本日、GitLab Community Edition（CE）およびEnterprise Edition（EE）のバージョン17.0.1、16.11.3、および16.10.6をリリースします」と、GitLabは水曜日のセキュリティプレスリリースで述べました。

「これらのバージョンには重要なバグとセキュリティ修正が含まれており、すべてのGitLabインストールを直ちにこれらのバージョンのいずれかにアップグレードすることを強く推奨します。」

追加の中Severityの脆弱性の修正

上記に加えて、同社は以下の6つの中Severityのセキュリティ欠陥をGitLab CE/EEで修正しました：

• CVE-2024-2874: このサービス拒否（DoS）脆弱性は、ランナーの「説明」フィールドにあり、バージョン16.10.6までのすべてのGitLab CE/EE、バージョン16.11の16.11.3まで、バージョン17.0の17.0.1までに影響を与えます。悪意のある説明で登録されたランナーは、ターゲットのGitLabウェブリソースの読み込みを妨害する可能性があります。

• CVE-2023-7045: この脆弱性を利用することで、攻撃者はKubernetesエージェントサーバー（KAS）を介してanti-CSRF（クロスサイトリクエストフォージェリ）トークンを抽出することができます。このCSRF脆弱性は、バージョン16.3から16.10.6、16.11から16.11.3、17.0から17.0.1のGitLab CE/EEに存在します。

• CVE-2023-6502: この脆弱性により、攻撃者が悪意のあるウィキページを使用してDoSを引き起こすことが可能になります。このDoS状態は、バージョン16.10.6以前のすべてのGitLab CE/EE、バージョン16.11の16.11.3以前、バージョン17.0の17.0.1以前に影響を与えます。

• CVE-2024-1947: この脆弱性を利用することで、攻撃者は悪意のあるAPI呼び出しを送信することによってDoS状態を作成することができます。このDoS状態は、バージョン13.2.4から16.10.6、16.11から16.11.3、17.0から17.0.1のGitLab CE/EEに見つかりました。

• 「コミットのパイプラインステータスを設定する」APIの認可脆弱性は、認証された攻撃者が悪意のある命名規則を利用してパイプラインの認可ロジックを回避することによって悪用される可能性があります。これは、バージョン16.10から16.10.6、16.11から16.11.3、17.0から17.0.1のGitLabに見つかりました。この脆弱性にはまだCVE（共通脆弱性と露出）IDが割り当てられていません。

• この脆弱性は、まだCVE IDが割り当てられていないもので、ゲストユーザーがジョブアーティファクトを通じてプライベートプロジェクトの依存関係リストを表示できるようにします。これは、バージョン11.11から16.10.6以前、16.11から16.11.3以前、17.0から17.0.1以前のGitLab CE/EEに見つかりました。

上記の脆弱性から保護するために、GitLabユーザーは、最新のリリースバージョン17.0.1、16.11.3、および16.10.6のいずれかに、できるだけ早くアップグレードすることを強く推奨します。