Tha GitLab air rabhadh a thoirt do luchd-cleachdaidh mu àrdachadh ann an gnìomhachd droch-rùnach co-cheangailte ri bhith a’ cleachdadh an so-leòntachd èiginneach CVE-2021-22205, a leigeas leotha an còd aca a chuir an gnìomh air astar gun dearbhadh air frithealaiche a chleachdas an àrd-ùrlar leasachaidh co-obrachail GitLab.
Tha a’ chùis air a bhith ann an GitLab bho dhreach 11.9 agus chaidh a càradh air ais sa Ghiblean ann an GitLab 13.10.3, 13.9.6, agus 13.8.8. Ach, a rèir sganadh lìonra cruinneil de 60 eisimpleir GitLab a tha ruigsinneach don phoball a chaidh a dhèanamh air 31 Dàmhair, tha 50% de shiostaman fhathast a’ cleachdadh dreachan GitLab seann-fhasanta, so-leònte. Chan eil ach 21% de na siostaman a chaidh a sganadh aig a bheil na h-ùrachaidhean riatanach air an stàladh. frithealaichean, agus air 29% de shiostaman cha robh e comasach an àireamh tionndaidh a bha ga chleachdadh a dhearbhadh.
Mar thoradh air droch dhìol luchd-rianachd frithealaiche GitLab a thaobh ùrachaidhean a stàladh, chaidh an so-leòntachd a chleachdadh gu gnìomhach le luchd-ionnsaigh a thòisich ga cur air. frithealaichean malware agus an ceangal ri botnet a tha an sàs ann an ionnsaighean DDoS. Aig an ìre as àirde, ràinig meud an trafaic rè ionnsaigh DDoS a chaidh a chruthachadh le botnet stèidhichte air frithealaichean GitLab so-leònte 1 terabit gach diog.
Tha an so-leòntachd air adhbhrachadh le bhith a’ làimhseachadh ceàrr air faidhlichean ìomhaigh a chaidh a luchdachadh sìos le parser taobh a-muigh stèidhichte air leabharlann ExifTool. Thug so-leòntachd ann an ExifTool (CVE-2021-22204) cead do dh’ àitheantan neo-riaghailteach a bhith air an cur an gnìomh san t-siostam nuair a bhathas a’ parsadh meata-dàta o fhaidhlichean ann an cruth DjVu: (meata-dàta (Copyright" \ " . qx{echo test >/tmp/test} . \ "b"))
A bharrachd air an sin, leis gun deach an fhìor chruth a dhearbhadh ann an ExifTool leis an t-seòrsa susbaint MIME, agus chan e leudachadh an fhaidhle, dh’ fhaodadh an neach-ionnsaigh sgrìobhainn DjVu a luchdachadh sìos le brath fo chumadh ìomhaigh àbhaisteach JPG no TIFF (bidh GitLab a’ gairm ExifTool airson a h-uile faidhle le jpg, leudachain jpeg agus tiff gus tagaichean neo-riatanach a ghlanadh). Eisimpleir de chleachdadh. Ann an rèiteachadh bunaiteach GitLab CE, faodar ionnsaigh a dhèanamh le bhith a’ cur dà iarrtas nach eil feumach air dearbhadh.
Thathas a’ moladh do luchd-cleachdaidh GitLab dèanamh cinnteach gu bheil iad a’ cleachdadh an dreach làithreach agus, ma tha iad a’ cleachdadh seann fhoillseachadh, ùrachaidhean a chuir a-steach sa bhad, agus mura h-eil seo comasach airson adhbhar air choireigin, bad a chuir an sàs gu roghnach a chuireas casg air so-leòntachd. Thathas cuideachd a’ comhairleachadh luchd-cleachdaidh shiostaman neo-leasaichte dèanamh cinnteach nach eil an siostam aca ann an cunnart le bhith a’ dèanamh anailis air na logaichean agus a’ sgrùdadh cunntasan ionnsaigh amharasach (mar eisimpleir, dexbcx, dexbcx818, dexbcxh, dexbcxi agus dexbcxa99).
Source: fosgailtenet.ru
