GitLab、アップデートで4件の脆弱性を修正

GitLabは、現地時間2月7日にGitリポジトリ管理ツールのアップデート「GitLab 16.8.2」「同16.7.5」「同16.6.7」をリリースした。複数の脆弱性を修正しており、できるだけ早く更新するよう求めている。

「GitLab Community Edition（CE）」「同Enterprise Edition（EE）」においてCVEベースで4件の脆弱性を解消したほか、セキュリティ以外の複数のバグに対処した。

具体的には、セキュリティポリシーのバイパスが可能となる「CVE-2023-6840」、権限昇格の脆弱性「CVE-2024-1250」、パイプライン構文の検証時にリソースの使用量が急増する「CVE-2023-6386」、「GraphQL」においてリソースのが枯渇するおそれがある「CVE-2024-1066」などへ対応した。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは「CVE-2023-6840」が「6.7」、他脆弱性を「6.5」としており、重要度はいずれも4段階中、上から3番目にあたる「中（Medium）」としている。

開発チームでは、できるかぎり早く最新版へアップデートするよう呼びかけている。

（Security NEXT - 2024/02/20 ） ツイート

PR

関連記事

「BIND 9」にサービス拒否の脆弱性 - 権威、リゾルバに影響
JR九州グループ会社にサイバー攻撃 - 従業員情報流出の可能性
米当局、Ciscoのコミュニケーション製品の脆弱性悪用に注意喚起
「Cisco Unified Communications」に深刻なRCE脆弱性 - 攻撃試行も確認
Oracle、四半期パッチで脆弱性337件を修正 - CVSS 9以上が27件
予約管理システムから個人情報流出の可能性 - ダイワロイネットホテルズ
誤送信やSNS投稿など個人情報関連事故を公表 - 日本小児理学療法学会
寄付金申請サービス侵害、第三者が管理者権限を不正利用 - CAC
ジモティー開発環境の侵害、自動ビルド用外部プログラムに不正コード
Ciscoがゼロデイ脆弱性を修正、永続化機能の除去も - 侵害調査は別途必要