GitLab、クリティカルパッチを公開 - 脆弱性17件に対応
GitLabは現地時間9月11日、開発プラットフォーム「GitLab」の「クリティカルパッチ」をリリースした。
「GitLab Community Edition(CE)」「GitLab Enterprise Edition(EE)」向けにアップデートとなる「同17.3.2」「同17.2.5」「同17.1.7」をリリースしたもの。
重要度が4段階中もっとも高い「クリティカル(Critical)」とされる脆弱性1件をはじめ、次に高い「高(High)」とされる3件、「中(Medium)」の11件、「低(Low)」の2件など、あわせて17件の脆弱性に対応した。
重要度が「クリティカル」とされる脆弱性は、特定の状況下で攻撃者が任意のユーザーとしてパイプラインをトリガーできる「CVE-2024-6678」。バグ報奨金プログラムを通じて報告された。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.9」と評価されている。
さらに重要度「高」として、「Cubeサーバ」にコマンドを挿入できる「CVE-2024-8640」や、サーバサイドリクエストフォージェリ(SSRF)の脆弱性「CVE-2024-8635」、サービス拒否の脆弱性「CVE-2024-8124」などへ対処している。
今回のアドバイザリにおいて、1件についてはCVE番号の言及がないが、16件についてはCVE番号が示されている。今回修正された脆弱性は以下のとおり。
CVE-2024-2743
CVE-2024-4283
CVE-2024-4472
CVE-2024-4612
CVE-2024-4660
CVE-2024-5435
CVE-2024-6389
CVE-2024-6446
CVE-2024-6678
CVE-2024-6685
CVE-2024-8124
CVE-2024-8311
CVE-2024-8631
CVE-2024-8635
CVE-2024-8640
CVE-2024-8641
(Security NEXT - 2024/09/12 )
ツイート
PR
関連記事
入退室管理製品「UniFi Access」の管理APIに認証不備の脆弱性
利用していたシフト管理SaaSから従業員情報が流出 - 西友
「Elastic Cloud Enterprise」に脆弱性 - API経由で不正操作のおそれ
国勢調査世帯一覧を紛失、住民が拾得して回収 - 横須賀市
「不正ログイン」相談が約1.5倍 - 「偽警告」は関係者逮捕で減少するも限定的
Google、「Chrome 142」でV8関連はじめ脆弱性20件を修正
公開データで個人情報を白く加工、コピペで参照可能 - 奥出雲町
ビジネスフォン通販サイト、個人情報流出の可能性
県サイト公開の表計算ファイル内に個人情報、チェック不足で - 新潟県
先週注目された記事(2025年10月26日〜2025年11月1日)
