米GitLabは、GitリポジトリマネージャGitLab Community Edition(CE)およびEnterprise Edition(EE)における、重大なセキュリティ問題を修正した「GitLab 16.7.2/16.6.4/16.5.6」を、1月11日(現地時間)にリリースした。
今回、リリースされたバージョン16.7.2/16.6.4/16.5.6では、ユーザーによる操作を必要としないパスワードリセットによるアカウントの乗っ取り、Slack/Mattermost統合の悪用によるスラッシュコマンドの実行、CODEOWNERS承認削除のバイパス、別のroot名前空間へのワークスペースの作成、コミット署名の検証における署名後のヘッダ無視という脆弱性が修正されており、同社は最新バージョンへの一刻も早いアップグレードを強く推奨している。
これらの脆弱性の中でも、ユーザーによる操作を必要としないパスワードリセットによるアカウントの乗っ取りと、Slack/Mattermost統合の悪用によるスラッシュコマンドの実行は、その危険度が「重大」に分類されており、迅速なアップグレードが求められる。
- 関連リンク
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
