事故から学ぶ

「GitLab」にアカウント奪取が可能となる脆弱性 – 早急に更新を

事故概要

業種 民間企業
発生時期 2022/3/31
漏えい人数 0
事故概要

オープンソースのGitリポジトリ管理ソフトを提供するGitLabは、3月31日にアップデートを公開した。深刻な脆弱性を修正しており、早急に更新するよう求めるとともに、影響を受けるアカウントを特定するためのスクリプトなども提供している。
今回リリースした「同14.9.2」「同14.8.5」「同14.7.7」は、あわせてCVEベースで17件の脆弱性に対処したアップデート。重要なセキュリティ上の修正が含まれるとしてただちに適用するよう利用者に強く推奨している。
重要度を見ると、「クリティカル(Critical)」とされる脆弱性が1件、次に高い「高(High)」が2件、続く「中(Medium)」が9件、「低(Low)」が5件だった。
今回のアップデートにおいて特に注意が必要となる脆弱性は、「OAuth」「LDAP」「SAML」など、「OmniAuth」ベースで登録された際に静的パスワードが設定される「CVE-2022-1162」。
脆弱性を悪用されるとアカウントを乗っ取られるおそれがあり、重要度を「クリティカル(Critical)」、共通脆弱性評価システム「CVSSv3.0」のベーススコアを「9.1」と評価している。同社では、インスタンスの管理者向けに脆弱性「CVE-2022-1162」の影響を受けるユーザーアカウントを特定するためのスクリプトも用意。対象となるアカウントを特定した場合は、パスワードをリセットすることを推奨している。
またSaaSサービスとして提供している「GitLab.com」についてはアップデートを適用済みであると説明。
同社調査において侵害の兆候は確認されていないが、予防措置として一部のユーザーに対してパスワードのリセットを実行したという。

引用元 Security-next

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

【情報】

チェックリストにある要求ルール:

【情報】

■ 推奨対策

対策:

【情報】

具体例:

【情報】

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。