Microsoftはセルフホスト型の Azure DevOps Server 向けに2026年4月のセキュリティパッチを公開した。今回のパッチには、セキュリティ上の懸念を含む3件の修正が盛り込まれており、特に自社データセンターやプライベートクラウドで Azure DevOps Server を運用している組織にとって、早急な適用が求められる内容となっている。
今回のパッチに含まれる修正内容
1. PRマージ時のnull参照例外(安定性)
プルリクエストのマージ完了時、ワークアイテムの自動クローズ処理においてnull参照例外が発生しマージが失敗するケースがあった。特定の条件下でのみ再現する問題だが、CI/CDパイプラインに組み込まれたレビューフローでは致命的なブロッカーになりえる。今回のパッチでこの問題が解消された。
2. サインアウト時の悪意あるリダイレクト防止(セキュリティ)
今回の修正の中で最も注意が必要なのがこれだ。いわゆる「オープンリダイレクト(Open Redirect)」の脆弱性に近い問題で、サインアウト時のリダイレクト先URLの検証が不十分だったため、攻撃者が細工したURLを介してユーザーをフィッシングサイト等に誘導できる可能性があった。
社内のオンプレミス環境だから大丈夫、と油断している組織こそ要注意だ。内部ネットワーク内のマシンで動作していても、メール等で送られてくる細工されたリンクを社内ユーザーがクリックすれば脆弱性は成立しうる。今回のパッチでリダイレクト先のバリデーションが強化された。
3. GitHub Enterprise Server へのPAT接続修正(連携)
GitHub Enterprise Server(GHES)との連携に使用するPersonal Access Token(PAT)接続が正常に作成できない不具合も修正されている。GitHubとAzure DevOpsを組み合わせたハイブリッドなDevOps構成を取っている組織では影響が直接出ていたはずだ。
適用対象と確認方法
今回のパッチは最新バージョンの Azure DevOps Server を対象としている。適用後の確認は、ダウンロードしたパッチインストーラーを使って以下のコマンドを実行することで行える。
出典: この記事は April Patches for Azure DevOps Server - Azure DevOps Blog の内容をもとに、筆者の見解を加えて独自に執筆したものです。