知って得するセキュリティのはなし その244

ソースコード管理ツール「GitLab」、世界約5,400台、国内約150台のサーバーに脆弱性
1.このニュースをざっくり言うと
- 1月24日(現地時間)、サイバーセキュリティ系メディア「Security Affairs」より、ソースコード管理ツール「GitLab」のサーバーについて、緊急性の高い脆弱性が修正されていないバージョンが全世界で5,379台稼働していると発表されました。
- 脆弱性(CVE-2023-7028)は同11日にバージョン16.7.2等で修正されたもので、悪用により、GitLabユーザーのアカウントを乗っ取られる恐れがあるとされています。
- 発表の時点で日本国内でも149台のGitLabサーバーに脆弱性があるとされており、セキュリティアップデートの適用が呼び掛けられています。
- Security AffairsおよびGitLabの開発元では、アップデート以外の回避策として二要素認証(2FA)を有効にすることも推奨しています。
2.執筆者からの所感等
- GitLabはGitHubのようなソースコードのバージョンや開発時の問題追跡等の管理機能を提供するもので、主に各組織でオンプレミスあるいはクラウド上のLinuxサーバーにインストールして使用する形となっています(GitLabではこの他にホスティングサービスも提供しています)。
- バージョン16.7.2(および16.6.4、16.5.6)ではCVE-2023-7028含め5件の脆弱性が修正されていますが、さらに同25日には月例のアップデートとしてバージョン16.8.1(および16.7.4、16.6.6、16.5.8)がリリースされ、ここでも7件の脆弱性が修正されています。
- Linuxディストリビューションでインストールした他のソフトウェアを含め可能な限り最新バージョンに保つようにすることはもちろん、外部からアクセス可能な状態で前述した2FAの利用が難しい場合等には、特定IPアドレスからのみのアクセスに制限することや、前面にUTMやWAFを設置する等も検討に値するでしょう。