ニュース
GitLabに「CVSS10.0」の脆弱性 直ちにアップデートを
GitLabのミュニティーエディションとエンタープライズエディションに「緊急」(Critical)の脆弱性が見つかった。CVSSv3.1のスコア値が「10.0」と最高値が付いているため迅速にアップデートを適用してほしい。
GitLabは2023年5月23日(現地時間)、Gitリポジトリマネジャー「GitLab」のコミュニティーエディションとエンタープライズエディションに「緊急」(Critical)の脆弱(ぜいじゃく)性が存在すると発表した。
脆弱性は共通脆弱性評価システム(CVSS)v3.1のスコア値が「10.0」と最高値が付けられており注意が必要だ。
CVSS10.0の脆弱性 直ちにアップデートを
脆弱性が存在するバージョンは以下の通りだ。
- GitLab Community Edition(CE) 16.0.0
- GitLab Enterprise Edition(EE) 16.0.0
通常、こうした脆弱性は古いバージョンにも存在していることが多いが、今回の脆弱性は上記だけに存在する。脆弱性に対処したバージョンは以下の通りだ。
- GitLab Community Edition(CE) 16.0.1
- GitLab Enterprise Edition(EE) 16.0.1
今回見つかった「緊急」(Critical)の脆弱性は「CVE-2023-2825」として特定されている。CVE-2023-2825はアップロードパストラバーサルの脆弱性で、悪用されると、認証されていないサイバー攻撃者がサーバ上の任意のファイルを読み込める可能性がある。
同脆弱性はHackerOneのバグ報奨金プログラムを通じて発見された。GitLabは該当製品のユーザーに対して問題が修正されたバージョンにアップデートすることを強く推奨している。なお、GitLib.comで運用されているバージョンはすでに問題が修正されたバージョンにアップデートされている。
関連記事
- 脆弱性対応の“解像度”を高めよ アップデートだけでは全然足りない理由
「脆弱性対応=セキュリティアップデートを適用するだけ」という理解は少し解像度が低過ぎるかもしれない。岡田 良太郎氏がそもそも脆弱性対応とは何をどうすることなのか、近年注目のキーワード「SBOM」の意義とは何かなどを語った。 - 生成AIを活用した4つのセキュリティツール、Tenableが無料で公開
Tenableは生成AIを活用したサイバーセキュリティツールを発表した。サイバーセキュリティリサーチャーのコミュニティー向けにテスト版が既に公開されている。 - 脆弱性対応は“ヒント”を見逃すな! サポート終了後のセキュリティパッチ提供が意味することとは
アプリケーションやOSの脆弱性に「どこまで対応すればよいのだろうか」と悩む担当者は多いでしょう。今回はセキュリティパッチの提供タイミングからヒントを見つける方法を考えます。 - 「やらないよりマシ」 徳丸氏が語る“セキュリティチェックシートの問題点”
サイバー攻撃の激化によって企業規模を問わずサプライチェーンリスクが生まれている。発注側と受注側それぞれでこれに向けた効果的な防御策とは何か。徳丸 浩氏がサプライチェーンリスクとセキュリティチェックシート問題について切り込んだ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.