本ブログは 「GitLab」 社の技術ブログで2021年11月4日に公開された「 Action needed by self-managed customers in response to CVE-2021-22205 」の日本語参考訳です。

CVE-2021-22205 は重要度の高い脆弱性 (CVSS 10.0) です。サードパーティのファイルサーバーの Exif-Tool には、画像ファイルの不適切な検証によって、リモートでコマンドを実行される脆弱性が存在します。この影響により、GitLab インスタンスが危険にさらされる可能性があります。

この脆弱性は、2021年4月14日にリリースされたGitLab 13.10.3、13.9.6、および13.8.8で修正され、パッチが適用されています。

外部に公開されているセルフホスト型のGitLabインスタンスで、この脆弱性が悪用されたという報告を確認しています。なお、GitLab.comのユーザーへの影響はありません。

CVE-2021-22205の影響を受けるGitLabのバージョン:

以下のバージョンのGitLabをセルフホストしている場合は、この脆弱性の影響を受けます。

11.9.x - 13.8.7
13.9.0 - 13.9.5
13.10.0 - 13.10.2
GitLab管理者は、 <gitlab_url>/adminでGitLabバージョンを確認できます。詳細は管理者エリアダッシュボードのドキュメントを参照ください。

影響を受けているかどうかの判断:

GitLab インスタンスが侵害されたかどうかを調べるためにユーザーが取ることのできる手順は、フォーラムの投稿「CVE-2021-22205: How to determine if a self-managed instance has been impacted」にまとめられています。

取るべき行動:

この脆弱性が悪用された場合、深刻な影響が出る可能性があるため、できるだけ早く修正済みのバージョンにアップデートする必要があります。この脆弱性は、2021年4月14日にリリースされたGitLab 13.10.3、13.9.6、13.8.8で修正され、パッチが適用されています。

すぐにアップデートができない場合は、ホットパッチをご利用いただけます。

ご質問がある場合は、このトピックのフォーラムに投稿できます。クリエーションラインのGitLab日本語サポート/プロフェッショナルサービスをご購入されているお客様は、tech-support.creationline.com にサポートチケットを起票してください。

GitLabのセキュリティ情報を受け取るため、Security Alertsのメーリングリストにご登録ください。