[セキュリティアラート] GitLabアカウント乗っ取り脆弱性の悪用をCISAが観測
GitLab の脆弱性 CVE-2023-7028 (2024年1月公表) の悪用 (exploit) が観測されているとして、米国サイバーセキュリティ・社会基盤安全保障庁 (CISA) は「悪用が確認された脆弱性目録」(Known Exploited Vulnerabilities Catalog) に本脆弱性を登録しました。
(本脆弱性についての詳細は、下記の弊社ブログ記事をご参照ください。
[セキュリティアラート] GitLab 16.1 以降に、アカウント乗っ取りを許す深刻な脆弱性がみつかりました (2024年1月15日))
GitLab の下記バージョンには本脆弱性があります。ご利用中の方は、速やかに対策済バージョンにアップデートしてください。
対策済バージョンより古く、16.1.0 以降のバージョン全て。具体的には下記の通り。
- 16.1.0 ~ 16.1.5
- 16.2.0 ~ 16.2.8
- 16.3.0 ~ 16.3.6
- 16.4.0 ~ 16.4.4
- 16.5.0 ~ 16.5.5
- 16.6.0 ~ 16.6.3
- 16.7.0 ~ 16.7.1
下記バージョンは本脆弱性に対策済です。
- 16.1.6
- 16.2.9
- 16.3.7
- 16.4.5
- 16.5.6 ~ 16.5.8
- 16.6.4 ~ 16.6.7
- 16.7.2 以降
なお、近年、VPNの突破、標的型攻撃、内部不正などによって閉域網内に侵入を許しサイバー攻撃を受ける例が多くなっています。もはや閉域網内でも安全とは言えませんので、GitLab を閉域網内でご利用中の場合でも、速やかに脆弱性対策をされることを強くお勧めします。
クリエーションラインはGitLabの公式パートナーです。
GitLabをはじめとするDevSecOpsプラクティスに関しての有償のサービスもご提供可能です。
製品の詳細や支援の内容など、お気軽にお問い合わせください。