GitLab を利用している方への注意!
2021.11.29
研究室内などで GitLab (https://about.gitlab.com/) を使っている方はいらっしゃいませんか?
GitLab は Git のレポジトリを自分のサーバに構築できるソフトウェアです。大学では、研究室のメンバーで利用する共通のレポジトリを構築するために、研究室内に GitLab を設置している場合もあると思います。
しかしこの GitLab、2021年4月に重大な脆弱性が発見されています。CVE-2021-22205 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22205) ですが、攻撃者に対して任意のコード実行を許してしまう脆弱性となっています。
この脆弱性を利用して、GitLab が動いているサーバを Botnet として遠隔操作し、サービス妨害攻撃を行ったという事例 (https://therecord.media/gitlab-servers-are-being-exploited-in-ddos-attacks-in-excess-of-1-tbps/) が紹介されています。
研究室内などで GitLab サーバを立ち上げている場合には、脆弱性を修正したバージョンに必ず更新してください。脆弱性がある GltLab のバージョンは、
- 11.9.x – 13.8.7
- 13.9.0 – 13.9.5
- 13.10.0 – 13.10.2
です。該当するバージョンを利用している方は、すぐにアップデートをお願いします。攻撃ツールが配布されているので、簡単にやられてしまいます。
サーバを乗っ取られるのみならず、外部の組織に対して迷惑をかける結果となります。必ず更新して頂けるようお願いします。
SI センター
関谷 勇司