GitLabの脆弱性の影響の有無と影響度の調査方法 #GitLab

GitLabでは、毎月22日に新バージョンがリリースされます。
全体のリリース情報はこちらの公式ブログ記事一覧からご確認いただけます。
https://about.gitlab.com/releases/categories/releases/

毎月定例のリリースとは別に下記のようなセキュリティリリースが随時行われて
います。

• GitLab Critical Security Release: 15.7.5, 15.6.6, and 15.5.9 (2023年1月17日)
• GitLab Critical Security Release: 15.8.2, 15.7.7 and 15.6.8 (2023年2月14日)
• GitLab Critical Security Release: 15.11.2, 15.10.6, and 15.9.7 (2023年5月5日)

セキュリティリリースについては当ブログでも過去にお知らせしています。

• Gitに深刻な脆弱性がみつかりました
• 2023/2/14 Gitに深刻な脆弱性がみつかりました （CVE-2023-23946, CVE-2023-22490） 
• 2023/5/5 GitLabセキュリティリリースのお知らせ

下記の方法で脆弱性情報を調べ、ご自身の GitLab の構成図や設定と照らし合わせ、各プロジェクトのデータの重要度等を考慮した上で、速やかに対応済みのバージョンまでアップデートしてください。

調査方法

GitLabの脆弱性についての影響の有無と影響度はこちらの公式サイトから調べることができます。
「Version」にご利用中のバージョンを入れて検索して頂くことで、現時点でのご利用中のバージョンに対する影響の有無と影響度を一覧で表示することができます。
例えば v15.10.3 をご利用の場合は下記画像のように一覧表示されます。

さらに「Fulltext search」に附番(画像では、CVE-2023-2478 )を入れて検索することで、特定の脆弱性について絞り込み検索することができます。

補足

近年、標的型攻撃や、内部不正などによって、隔離ネットワーク内であっても情報セキュリティ事件が多発しています。独立行政法人情報処理推進機構 (IPA) が毎年発表している「情報セキュリティ10大脅威 2023」でも上位を占めており、 またその「対策の基本」の筆頭にソフトウェアの更新による脆弱性の解消が挙げられています。
隔離ネットワーク内であっても、セキュリティリリースへアップデートすることを強くお勧めいたします。

(出典:"情報セキュリティ10大脅威 2023", 独立行政法人情報処理推進機構 (IPA), 2023, https://www.ipa.go.jp/security/10threats/10threats2023.html)

お問い合わせ

弊社では、セキュリティ対応やアップデート方法等についてのサポートを受けられるGitLabプロフェッショナルサービスを提供しています。
ご不明な点や疑問点がございましたら、 些細なことでもお気軽にお問い合わせください。

5/29追記

2023/5/23にクリティカルセキュリティリリースが発報されました。

GitLab CE/EE でバージョン 16.0.0 のみに影響する問題が発見されました。

5つ以上のグループにネストされている公開プロジェクトに添付ファイルが存在する場合、認証されていない悪意のあるユーザーがパス・トラバーサルの脆弱性を利用して、サーバー上の任意のファイルを読み取ることができます。

速やかにパッチ適用済みバージョンにアップデートしてください。