[セキュリティアラート] GitLab 16.1 以降に、アカウント乗っ取りを許す深刻な脆弱性がみつかりました #GitLab #脆弱性
検証が済んでいないEmailアドレス宛でもパスワードリセットメールが送信されます。
GitLab 16.1 以降の各マイナーバージョンに対して、下記の通りパッチリリースが提供されていますので、ご利用中のマイナーバージョン向けのパッチリリースに、至急アップデートしてください。
- 同じマイナーバージョン内の場合、アップデート中の停止時間は数分程度です。
- 同時に別のマイナーバージョンへアップグレードする場合は、アップグレードパスに従ってください。
脆弱性対策済パッチリリース
- 16.1.6
- 16.2.9
- 16.3.7
- 16.4.5
- 16.5.7 (セキュリティパッチの後、別の修正も入った最新版です)
- 16.6.5 (同上)
- 16.7.3 (同上)
本件の詳細は、GitLab社の発表記事(英文) をご参照ください。
Account Takeover via Password Reset without user interactions
なお、近年、VPNの突破、標的型攻撃、内部不正などによって閉域網内に侵入を許しサイバー攻撃を受ける例が多くなっており、もはや閉域網内でも安全とは言えなくなっています。GitLab を閉域網内でご利用中の場合でも、速やかに脆弱性対策をされることを強くお勧めします。