2024年1月11日(現地時間)、GitLabはGitLab Community Edition(CE)およびEnterprise Edition(EE)向けのセキュリティリリースに関する情報を公開しました。修正された脆弱性の内、パスワードリセット機能における脆弱性(CVE-2023-7028)が悪用された場合、任意のユーザーアカウントのパスワードが第三者によりリセットされ、多要素認証を有効にしていない環境ではアカウントの乗っ取りに繋がる可能性があります。なお、同脆弱性の実証コード(PoC)と見られる情報が既に公開されています。
影響を受けるバージョンを利用している場合は、GitLabが提供する情報を参考に、対策や調査を実施いただくことを推奨します。脆弱性を悪用する攻撃の被害を受けた可能性があるかどうかログを調査する方法がGitLabから公開されています。
Gitlab
GitLab Critical Security Release: 16.7.2, 16.6.4, 16.5.6
https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/
[CVE-2023-7028の影響を受けるバージョン]
- 16.7.2より前の16.7系のバージョン
- 16.6.4より前の16.6系のバージョン
- 16.5.6より前の16.5系のバージョン
- 16.4.5より前の16.4系のバージョン
- 16.3.7より前の16.3系のバージョン
- 16.2.9より前の16.2系のバージョン
- 16.1.6より前の16.1系のバージョン
CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
