GitLabが複数のデプロイ構成に影響する7件の脆弱性を開示したことを受け、Linux管理者には緊急のパッチ適用が求められています。
これらの欠陥は、クロスサイトスクリプティング、認可回避、サービス拒否、情報漏えいに及び、総合的にセルフマネージド環境に重大なリスクをもたらします。
修正版であるGitLab 18.7.1、18.6.3、18.5.5はこれらのセキュリティ問題に対処しており、すでにGitLab.comにも展開されています。
GitLabは月2回の定期パッチサイクルに加え、重大な問題に対しては随時リリースも行っており、サポート対象ブランチについて利用可能な最新パッチを適用した状態をすべての顧客が維持することを強く推奨しています。
新たに リリースされた 更新では、GitLab Flavored Markdown、Web IDE、Duo Workflows、AI GraphQLエンドポイント、インポート機構、Runner管理システムなど、GitLabの中核機能に影響する欠陥が修正されています。
最も重大な問題は、保存型および反射型のクロスサイトスクリプティング攻撃で、攻撃者がユーザーのブラウザ上で任意のJavaScriptを実行できる可能性があります。
そのほかの懸念として、AI設定ワークフローにおける認可制御の欠如や、Runner管理操作におけるアクセス粒度の不足が挙げられます。
これらの脆弱性は、明示的に除外されていない限り、omnibusパッケージ、ソースインストール、Helmチャートといったすべてのデプロイ形態に適用されるため、ほとんどのセルフマネージド環境では直ちに対応が必要です。
Duo WorkflowsおよびAI GraphQLミューテーションにおける認可の欠陥により、低権限ユーザーが、割り当てられたネームスペース外の機微なAI設定へアクセスできてしまう可能性があります。
追加の懸念として、インポート機能およびMermaid図のレンダリングに対するサービス拒否攻撃があり、機微な接続情報が露出する可能性があります。
総合すると、これらの問題はプロジェクトデータの完全性、設定データの機密性、そしてGitLabサービスの可用性を脅かします。
シングルノードのインスタンスではデータベース移行中のダウンタイムが見込まれる一方、マルチノード環境ではGitLabのゼロダウンタイム手順を用いてサービス継続性を維持できます。
GitLabは、すべての管理者に対し、最新のパッチ版へ直ちにアップグレードするよう助言しています。組織は同時に、パッチ管理の徹底、外部アクセスの強化、影響を受ける脆弱性ベクトルを狙った異常な活動の監視など、文書化されたセキュリティのベストプラクティスも見直すべきです。
翻訳元: https://cyberpress.org/gitlab-patches-multiple-vulnerabilities-2/