[セキュリティアラート] GitLab 16.1 以降に、アカウント乗っ取りを許す深刻な脆弱性がみつかりました #GitLab #脆弱性

検証が済んでいないEmailアドレス宛でもパスワードリセットメールが送信されます。

GitLab 16.1 以降の各マイナーバージョンに対して、下記の通りパッチリリースが提供されていますので、ご利用中のマイナーバージョン向けのパッチリリースに、至急アップデートしてください。

• 同じマイナーバージョン内の場合、アップデート中の停止時間は数分程度です。
• 同時に別のマイナーバージョンへアップグレードする場合は、アップグレードパスに従ってください。

脆弱性対策済パッチリリース

• 16.1.6
• 16.2.9
• 16.3.7
• 16.4.5
• 16.5.7 (セキュリティパッチの後、別の修正も入った最新版です)
• 16.6.5 (同上)
• 16.7.3 (同上)

本件の詳細は、GitLab社の発表記事(英文) をご参照ください。

Account Takeover via Password Reset without user interactions

なお、近年、VPNの突破、標的型攻撃、内部不正などによって閉域網内に侵入を許しサイバー攻撃を受ける例が多くなっており、もはや閉域網内でも安全とは言えなくなっています。GitLab を閉域網内でご利用中の場合でも、速やかに脆弱性対策をされることを強くお勧めします。