「GitLab」に深刻な脆弱性 - アカウント乗っ取りのおそれ
GitLabは、現地時間1月11日にセキュリティアップデート「同16.7.2」「同16.6.4」「同16.5.6」をリリースした。パスワードリセット機能によりアカウントを乗っ取られるおそれがある脆弱性などを修正している。
「GitLab Community Edition(CE)」「同Enterprise Edition(EE)」に向けて脆弱性を解消するセキュリティアップデートをリリースしたもの。あわせて5件の脆弱性を解消した。
具体的には、「CVE-2023-7028」や「CVE-2023-5356」など、重要度が4段階中もっとも高い「クリティカル(Critical)」とされる脆弱性2件が含まれる。
「CVE-2023-7028」は、ユーザーアカウントのパスワードリセット機能に明らかとなった脆弱性。未検証のメールアドレスにリセットメールが送信されるおそれがあった。共通脆弱性評価システム「CVSSv3.1」において、ベーススコアは最高値となる「10.0」と評価されている。
同脆弱性は、同製品が備えるすべての認証機能が影響を受ける。ただし、二要素認証を設定している場合、パスワードリセットは可能なものの、ログインに別の認証要素が必要となるため、乗っ取りは防げるとしている。
(Security NEXT - 2024/01/15 )
ツイート
PR
関連記事
「改訂新版セキュリティエンジニアの教科書」が発売 - 日本シーサート協議会
「GitLab」のアカウント乗っ取る脆弱性、悪用が発生 - 米当局が注意喚起
QNAP製NASやアドオンに脆弱性 - 旧アドバイザリも更新、影響大きい脆弱性を追加
児童養護施設で児童の個人情報含む書類が所在不明 - 岐阜県
中小企業向けにネットワーク脅威の検知パッケージ - NTTセキュリティ
ジョギング大会の参加者名簿が所在不明に - 綾川町
保育施設運営事業者へのメールで誤送信、メアド流出 - 大阪市
不妊対策助成事業の一部申請書が所在不明に - 東京都
LINEヤフー、個情委に報告書を提出 - 進捗状況知らせるページも
FC会員情報含むUSBメモリを撮影会場で紛失 - 新日本プロレス
