はじめに
社内でセキュリティ文化を形成するために各リポジトリに含まれる脆弱性を対応することになりました。
専門部署の方がSaaS版 GitLabを利用できるように手配してくれていたので、そちらを利用しました。
はじめての脆弱性対応
まず各自で担当しているシステムのリポジトリから脆弱性レポートを確認し、重要度が「致命的」「高」の脆弱性の対応にかかる工数を見積もることになりました。
脆弱性レポートには、各脆弱性についての説明や該当箇所、関連リンクまで記載されていました。
私の担当しているシステムでは以下4つの脆弱性について調査しました。
パッと見てもよくわからなかったのでGPT先生に概要を聞くことにしました。
Insufficient Verification of Data Authenticity
Certifiバージョンをアップデートすれば良さそうですね。
Certifiやe-Tugraについても聞いてみました。私はよく「中学生でもわかるようにおしえて」と聞きます。
う~んとても分かりやすい。
Inconsistent Interpretation of HTTP Requests ('HTTP Request/Response Smuggling')
中学生向け
urllib3のバージョンを1.26.15から1.26.17にアップグレードする必要がありそうです。
v1.26.17およびv2.0.6でHTTPCookieヘッダーを除くように修正されているようです。
また、担当しているシステムでは一時情報をCookie管理していないのでリダイレクトをオフにするような改修も必要ありませんでした。
Improper Certificate Validation
こちらもバージョンアップでよさそうです。
Cookie HTTP header isn't strippetyd on cross-origin redirects
中学生向け
こちらはアップグレードが必要でした。
おわりに
脆弱性について調査しているときは以外と楽しかったです。GPTが便利すぎますね。
これからはセキュリティも意識して勉強していきたいです。