Tha GitLab air rabhadh a thoirt do luchd-cleachdaidh mu àrdachadh ann an gnìomhachd droch-rùnach co-cheangailte ri bhith a’ cleachdadh an so-leòntachd èiginneach CVE-2021-22205, a leigeas leotha an còd aca a chuir an gnìomh air astar gun dearbhadh air frithealaiche a chleachdas an àrd-ùrlar leasachaidh co-obrachail GitLab.
Tha a’ chùis air a bhith an làthair ann an GitLab bho dhreach 11.9 agus chaidh a shocrachadh air ais sa Ghiblean ann am fiosan GitLab 13.10.3, 13.9.6, agus 13.8.8. Ach, a ’breithneachadh le sgan Dàmhair 31 de lìonra cruinne de 60 cùis GitLab a tha rim faighinn gu poblach, tha 50% de shiostaman a’ leantainn air adhart a ’cleachdadh dreachan seann-fhasanta de GitLab a tha buailteach do chugallachd. Cha deach na h-ùrachaidhean riatanach a chuir a-steach ach air 21% de na frithealaichean a chaidh a dhearbhadh, agus air 29% de shiostaman cha robh e comasach an àireamh tionndaidh a bhathar a’ cleachdadh a dhearbhadh.
Mar thoradh air a’ bheachd neo-chùramach aig luchd-rianachd frithealaiche GitLab mu bhith a’ stàladh ùrachaidhean, thòisich luchd-ionnsaigh a’ gabhail brath gu gnìomhach air an so-leòntachd, a thòisich air malware a chuir air na frithealaichean agus gan ceangal ri obair botnet a bha a’ gabhail pàirt ann an ionnsaighean DDoS. Aig an ìre as àirde, ràinig an ìre trafaic rè ionnsaigh DDoS a chaidh a chruthachadh le botnet stèidhichte air frithealaichean GitLab so-leònte 1 terabits gach diog.
Tha an so-leòntachd air adhbhrachadh le bhith a’ làimhseachadh ceàrr air faidhlichean ìomhaigh a chaidh a luchdachadh sìos le parser taobh a-muigh stèidhichte air leabharlann ExifTool. Thug so-leòntachd ann an ExifTool (CVE-2021-22204) cead do dh’ àitheantan neo-riaghailteach a bhith air an cur an gnìomh san t-siostam nuair a bhathas a’ parsadh meata-dàta o fhaidhlichean ann an cruth DjVu: (meata-dàta (Copyright" \ " . qx{echo test >/tmp/test} . \ "b"))
A bharrachd air an sin, leis gun deach an fhìor chruth a dhearbhadh ann an ExifTool leis an t-seòrsa susbaint MIME, agus chan e leudachadh an fhaidhle, dh’ fhaodadh an neach-ionnsaigh sgrìobhainn DjVu a luchdachadh sìos le brath fo chumadh ìomhaigh àbhaisteach JPG no TIFF (bidh GitLab a’ gairm ExifTool airson a h-uile faidhle le jpg, leudachain jpeg agus tiff gus tagaichean neo-riatanach a ghlanadh). Eisimpleir de chleachdadh. Ann an rèiteachadh bunaiteach GitLab CE, faodar ionnsaigh a dhèanamh le bhith a’ cur dà iarrtas nach eil feumach air dearbhadh.
Thathas a’ moladh do luchd-cleachdaidh GitLab dèanamh cinnteach gu bheil iad a’ cleachdadh an dreach làithreach agus, ma tha iad a’ cleachdadh seann fhoillseachadh, ùrachaidhean a chuir a-steach sa bhad, agus mura h-eil seo comasach airson adhbhar air choireigin, bad a chuir an sàs gu roghnach a chuireas casg air so-leòntachd. Thathas cuideachd a’ comhairleachadh luchd-cleachdaidh shiostaman neo-leasaichte dèanamh cinnteach nach eil an siostam aca ann an cunnart le bhith a’ dèanamh anailis air na logaichean agus a’ sgrùdadh cunntasan ionnsaigh amharasach (mar eisimpleir, dexbcx, dexbcx818, dexbcxh, dexbcxi agus dexbcxa99).
Source: fosgailtenet.ru