「GitLab」に深刻な脆弱性 - 早急なアップデートを呼びかけ
GitLabは現地時間2025年3月12日、重要度が「クリティカル」とされるものも含む複数の脆弱性へ対応したアップデートをリリースした。早急な対応を呼びかけている。
「GitLab Community Edition(CE)」および「Enterprise Edition(EE)」向けに「同17.9.2」「同17.8.5」「同17.7.7」をリリースし、利用者へ早急な対処を促した。アドバイザリとしては8件、CVEベースで9件の脆弱性を解消している。
今回修正した脆弱性のなかでも、特に依存関係にあるRuby向けサードパーティ製ライブラリに関する影響が大きく、重要度を高く設定している。
具体的には「ruby-saml」に明らかとなった脆弱性「CVE-2025-25291」「CVE-2025-25292」に対応。「SAML」によるシングルサインオン認証を有効化している環境において、アイデンティティプロバイダ(IdP)の有効な署名を含むSAMLドキュメントにアクセスできる場合、別のユーザーとして認証が可能となる。
同じくRuby向けライブラリ「graphql」における脆弱性「CVE-2025-27407」の影響も判明した。「Direct Transfer」機能を悪用することで、リモートよりコードを実行することが可能になる。
(Security NEXT - 2025/03/13 )
ツイート
PR
関連記事
米当局、「Zimbra」「Versa Concerto」など脆弱性5件の悪用に注意喚起
「MOVEit WAF」にコマンドインジェクションの脆弱性- 修正版が公開
米当局、「Zimbra」の脆弱性に注意喚起 - 軍関係狙うゼロデイ攻撃も
「VMware vCenter Server」既知脆弱性の悪用を確認 - 米当局も注意喚起
「Apache bRPC」に深刻なRCE脆弱性 - アップデートやパッチ適用を
キヤノン製スモールオフィス向け複合機に複数の深刻な脆弱性
全文検索エンジン「Apache Solr」に複数の脆弱性
GitLab、重要度「High」3件含むセキュリティ更新をリリース
「Java SE」にアップデート - 脆弱性11件に対処
GNU Inetutilsの「telnetd」に認証回避の脆弱性 - rootログインのおそれ
