GitLabは3月12日、クリティカルパッチをリリースし、重大な認証の脆弱性を修正した。
同社は、GitLab Community Edition(CE)および Enterprise Edition(EE)のバージョン 17.9.2と17.8.5、17.7.7をリリース。これには、重要度が「クリティカル」なバグとセキュリティの修正が含まれているため、アップデートが強く推奨されている。
SAML SSO認証を使用するGitLab CE/EEインスタンスでは、特定の状況下において、IdPからの有効な署名済みSAMLドキュメントにアクセスできる攻撃者が、別の有効なユーザーとして認証できる可能性があった。
その他、Rubyライブラリで特定されたセキュリティ問題などに関して修正がなされている。
GitLab.comにおいてはすでにパッチ適用バージョンが稼働している。GitLab Dedicatedのユーザーは、対応は必要なく、インスタンスにパッチが適用されると通知される。
GitLab CE/EEをすぐに更新できない場合の緩和策については、リリースを参照。
- 関連リンク
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
