[セキュリティ アラート]GitLabをセルフホストしている場合に必要なCVE-2021-22205への対応 #GitLab #GitLabjp
この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。
本ブログは 「GitLab」 社の技術ブログで2021年11月4日に公開された「 Action needed by self-managed customers in response to CVE-2021-22205 」の日本語参考訳です。
CVE-2021-22205 は重要度の高い脆弱性 (CVSS 10.0) です。サードパーティのファイルサーバーの Exif-Tool には、画像ファイルの不適切な検証によって、リモートでコマンドを実行される脆弱性が存在します。この影響により、GitLab インスタンスが危険にさらされる可能性があります。
この脆弱性は、2021年4月14日にリリースされたGitLab 13.10.3、13.9.6、および13.8.8で修正され、パッチが適用されています。
外部に公開されているセルフホスト型のGitLabインスタンスで、この脆弱性が悪用されたという報告を確認しています。なお、GitLab.comのユーザーへの影響はありません。
CVE-2021-22205の影響を受けるGitLabのバージョン:
以下のバージョンのGitLabをセルフホストしている場合は、この脆弱性の影響を受けます。
11.9.x - 13.8.7
13.9.0 - 13.9.5
13.10.0 - 13.10.2
GitLab管理者は、 <gitlab_url>/admin
でGitLabバージョンを確認できます。詳細は管理者エリアダッシュボードのドキュメントを参照ください。
影響を受けているかどうかの判断:
GitLab インスタンスが侵害されたかどうかを調べるためにユーザーが取ることのできる手順は、フォーラムの投稿「CVE-2021-22205: How to determine if a self-managed instance has been impacted」にまとめられています。
取るべき行動:
この脆弱性が悪用された場合、深刻な影響が出る可能性があるため、できるだけ早く修正済みのバージョンにアップデートする必要があります。この脆弱性は、2021年4月14日にリリースされたGitLab 13.10.3、13.9.6、13.8.8で修正され、パッチが適用されています。
すぐにアップデートができない場合は、ホットパッチをご利用いただけます。
ご質問がある場合は、このトピックのフォーラムに投稿できます。クリエーションラインのGitLab日本語サポート/プロフェッショナルサービスをご購入されているお客様は、tech-support.creationline.com にサポートチケットを起票してください。
GitLabのセキュリティ情報を受け取るため、Security Alertsのメーリングリストにご登録ください。