7月11日:サイバーセキュリティ関連ニュース
GitLabに重大な脆弱性、攻撃者に他ユーザーとしてのパイプライン実行を許す恐れ : CVE-2024-6385
BleepingComputer – July 10, 2024
GitLabが、コミュニティ版とエンタープライズ版の双方における重大な脆弱性CVE-2024-6385を修正。CVSS基本値が9.6でCritical評価のこの脆弱性を攻撃者が悪用した場合、任意のユーザーとしてパイプラインジョブを実行することが可能となる恐れがあるという。
CVE-2024-6385の影響を受けるのは、以下のバージョンのコミュニティ版およびエンタープライズ版。特定の条件下で攻撃者によって悪用されると、任意ユーザーとしての新たなパイプラインのトリガーが可能になるとされている。ただしこの「条件」が何なのかは明記されていない。
- 15.8以降、16.11.6より前のバージョン
- 17.0以降、17.0.4より前のバージョン
- 17.1以降、17.1.2より前のバージョン
修正版は以下:
- 16.11.6
- 17.0.4
- 17.1.2
GitLabの脆弱性といえば、今回のものとよく似たゼロクリックの脆弱性CVE-2023-7028が盛んに悪用されている。またGitLabは、APIキーや専有コードなど、機微性の高いさまざまな企業データをホストしていることから、攻撃者にとっては魅力的なターゲット。利用者には、可及的速やかなアップグレードが強く推奨される。
VMware、 Aria Automationの深刻なSQLi脆弱性にパッチ:CVE-2024-22280
VMWareは水曜、Aria Automation製品におけるSQLインジェクションの脆弱性CVE-2024-22280に対するパッチをリリース。この脆弱性の深刻度は「High(高)」、CVSSスコアは8.5とされている。
VMwareによれば、これはAria Automationで入力値の適切な検証が行われないことに起因するもの。認証済みの悪意あるユーザーが特別に細工されたSQLクエリを入力することでこれを悪用すれば、データベース内で不正な読み取り/書き込み操作を行うことができる恐れがあるという。
影響を受けるのはVMware Aria Automationのバージョン8.xと、Cloud Foundationの5.xおよび4.x。VMwareのアドバイザリはこちら:VMSA-2024-0017: VMware Aria Automation updates address SQL-injection vulnerability (CVE-2024-22280)