TokyoBlackHatNews

cyberwarriorsmiddleeast.com 4分で読了

GitLab、重大度の高い脆弱性を修正する緊急パッチを公開

GitLab、セキュリティと安定性を強化する重要なパッチ更新をリリース

GitLabは、さまざまなセキュリティ脆弱性の修正と全体的な安定性の向上を目的とした最新のパッチリリースを通じて、大規模な更新を展開しました。更新はバージョン18.8.2、18.7.2、18.6.4として提供され、セルフマネージド環境向けのGitLab Community EditionおよびEnterprise Editionの両方に適用されます。これらのバージョンを使用している管理者には、システムの安全性を確保するため、速やかなアップグレードが強く推奨されます。

パッチリリースの詳細

今回公開されたパッチノートでは、複数のGitLabエディションに影響するセキュリティリスクに関する重要な修正が強調されています。GitLab.comはすでにこれらの修正済みバージョンを利用しているため、GitLab Dedicatedを利用している顧客は対応不要です。一方、自社でGitLabインスタンスを運用している組織は、既知の脆弱性から保護するため、これらのアップグレードを優先すべきです。

対応した重大な脆弱性

対応した脆弱性の一つに、Jira Connect連携におけるサービス拒否(DoS)リスクをもたらすCVE-2025-13927があります。この脆弱性により、未認証の攻撃者が不正な認証データを含む巧妙に作成されたリクエストを送信することで、サービス拒否状態を引き起こす可能性があります。GitLab Community EditionおよびEnterprise Editionのバージョン11.9から、修正済みバージョン未満までが影響を受けます。本件はCVSSスコア7.5と評価され、重大度が高いことを示しており、GitLabのHackerOneバグバウンティプログラム経由で報告されました。

もう一つの重要な問題であるCVE-2025-13928は、Releases APIに関するもので、不十分な認可検証により同様のサービス拒否脆弱性が生じます。バージョン17.7以前が影響を受け、この脆弱性もCVSSスケールで7.5を記録しており、同じ研究者によって報告されました。

さらにGitLabは、CVE-2026-0723としてコード化された脆弱性にも対応しました。認証サービスにおけるこの欠陥により、被害者のクレデンシャルIDを知っている攻撃者が、偽造したデバイス応答を送信することで二要素認証を回避できる可能性があります。この問題は新たに修正されたリリース以前のバージョンに影響し、CVSSスコアは7.4です。この脆弱性は、HackerOneで活動する別のセキュリティ研究者によって指摘されました。

中程度の重大度の問題と修正

今回の更新では、中程度の重大度の問題も複数修正されています。特に注目すべき問題はCVE-2025-13335で、Wikiリダイレクトで無限ループが発生する可能性に関するものです。これにより、認証済みユーザーがWikiドキュメントを操作してサービス拒否状態を作り出せる可能性があり、バージョン17.1以降が影響を受け、CVSSスコアは6.5です。もう一つの注目すべき修正はCVE-2026-1102で、不適切なSSH認証リクエストを繰り返すことで引き起こされるサービス拒否脆弱性です。バージョン12.3以降が影響を受け、CVSSスコアは5.3です。この脆弱性はGitLabの従業員によって社内で発見されました。

包括的なバグ修正とアップグレードに関する助言

セキュリティ脆弱性への対応に加え、最新パッチには影響を受けるバージョン向けの多数のバグ修正が含まれています。これには、マージリクエストのレビュアーに関連するクラッシュ、検索可能なドロップダウンにおける競合状態、セルフマネージド環境でのSSH関連エラーなどの問題に対する解決策が含まれます。さらに、継続的インテグレーション(CI)ジョブ、Sidekiqワーカーの性能、そしてプラットフォーム全体の運用に改善が加えられています。

GitLabは、このパッチにはインストールおよびアップグレード手順に影響し得るデータベースマイグレーションも含まれると述べています。単一ノードのインストールでは、サービス再開前にこれらのマイグレーションが適用される間、ダウンタイムが発生します。対照的に、複数ノード構成の組織は、無停止アップグレード手順に従うことで、中断なく最新の更新を適用できます。

これらの脆弱性の影響を受けるバージョンを運用しているすべてのユーザーには、できるだけ早く最新のパッチリリースへアップグレードすることが推奨されます。この予防的措置により、特定された脆弱性に伴うリスクを軽減し、プラットフォームの安定性を強化して、安全で信頼性の高い開発環境を確保できます。

翻訳元: https://cyberwarriorsmiddleeast.com/gitlab-issues-urgent-patch-to-fix-high-severity-vulnerabilities/

ソース: cyberwarriorsmiddleeast.com
#CVE #DoS攻撃 #GitLab #Jira Connect #Releases API #セキュリティアップデート #パッチ適用・アップグレード #二要素認証(2FA)回避 #脆弱性 #自己管理(Self-Managed)

関連記事

Fortinet管理者による「修正済み」FortiOS 7.4.9ファームウェアでの活発な悪用報告

増大する脅威:デュアルチャネル攻撃が2026年のビジネスメール詐欺に革命をもたらす

サイバー攻撃でイタリア最大の大学ラ・サピエンツァが停止