CL LAB

HOME > CL LAB > [セキュリティ アラート]GitLabをセルフホストしている場合に必要なCVE-2021-22205への対応 #GitLab #GitLabjp

[セキュリティ アラート]GitLabをセルフホストしている場合に必要なCVE-2021-22205への対応 #GitLab #GitLabjp

 ★ 40

本ブログは 「GitLab」 社の技術ブログで2021年11月4日に公開された「 Action needed by self-managed customers in response to CVE-2021-22205 」の日本語参考訳です。

CVE-2021-22205 は重要度の高い脆弱性 (CVSS 10.0) です。サードパーティのファイルサーバーの Exif-Tool には、画像ファイルの不適切な検証によって、リモートでコマンドを実行される脆弱性が存在します。この影響により、GitLab インスタンスが危険にさらされる可能性があります。

この脆弱性は、2021年4月14日にリリースされたGitLab 13.10.3、13.9.6、および13.8.8で修正され、パッチが適用されています。

外部に公開されているセルフホスト型のGitLabインスタンスで、この脆弱性が悪用されたという報告を確認しています。なお、GitLab.comのユーザーへの影響はありません。

CVE-2021-22205の影響を受けるGitLabのバージョン:

以下のバージョンのGitLabをセルフホストしている場合は、この脆弱性の影響を受けます。

11.9.x - 13.8.7
13.9.0 - 13.9.5
13.10.0 - 13.10.2
GitLab管理者は、 <gitlab_url>/adminでGitLabバージョンを確認できます。詳細は管理者エリアダッシュボードのドキュメントを参照ください。

影響を受けているかどうかの判断:

GitLab インスタンスが侵害されたかどうかを調べるためにユーザーが取ることのできる手順は、フォーラムの投稿「CVE-2021-22205: How to determine if a self-managed instance has been impacted」にまとめられています。

取るべき行動:

この脆弱性が悪用された場合、深刻な影響が出る可能性があるため、できるだけ早く修正済みのバージョンにアップデートする必要があります。この脆弱性は、2021年4月14日にリリースされたGitLab 13.10.3、13.9.6、13.8.8で修正され、パッチが適用されています。

すぐにアップデートができない場合は、ホットパッチをご利用いただけます。

ご質問がある場合は、このトピックのフォーラムに投稿できます。クリエーションラインのGitLab日本語サポート/プロフェッショナルサービスをご購入されているお客様は、tech-support.creationline.com にサポートチケットを起票してください。

GitLabのセキュリティ情報を受け取るため、Security Alertsのメーリングリストにご登録ください

CL LAB Mail Magazine

CL LABの情報を逃さずチェックしよう!

メールアドレスを登録すると記事が投稿されるとメールで通知します。

メールアドレス: 登録

※登録後メールに記載しているリンクをクリックして認証してください。

Related post

Neo4j[ホワイトペーパー]CCPA