2023/7/5 GitLabセキュリティリリースのお知らせ #GitLab

リリースタイトル : 攻撃者が一部のパブリックなGitLabグループの名前やパスを変更する恐れがあります
重大度　　　　　 : 高い

2023/7/5にGitLabからセキュリティリリースが発報されました。こちらのGitLabの記事に解説が掲載されています。
すみやかにご利用中のGitLabを記事に記載されている対策済みバージョンにアップデートしてください。

影響範囲

GitLab EE にて問題が発見され、下記のバージョンに影響があります。

• 12.8から始まる15.11.11以前のすべてのバージョン
• 16.0から始まる16.0.7以前のすべてのバージョン
• 16.1から始まる16.1.2以前のすべてのバージョン

影響内容

攻撃者は、特定の状況下で公開トップレベルグループの名前またはパスを変更する可能性があります。
これは重要度の高い問題です (CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H, 8.0)。
この問題は最新のリリースで緩和されており、CVE-2023-3484 が割り当てられています。

非セキュリティパッチ

このセキュリティ リリースには、次のセキュリティ以外のパッチも含まれています。
16.1.2

• 16.1にアップグレード後、環境タブが空になる問題を修正しました
• Bitbucket Cloud Importer の修正: 16.1 バックポート
• GitHub インポーターの修正: 16.1 バックポート
• Wikiサイドバーナビゲーションでタイトルの重なりを修正
• Mermaid iFramesのwebpackパスをリセット