GitLab ya gargadi masu amfani game da karuwa a cikin munanan ayyukan da suka shafi cin gajiyar mummunan rauni CVE-2021-22205, wanda ke ba su damar aiwatar da lambar su daga nesa ba tare da tantancewa ba akan sabar da ke amfani da dandamalin haɓaka haɗin gwiwar GitLab.
Batun yana nan a GitLab tun daga sigar 11.9 kuma an gyara shi a cikin Afrilu a GitLab ya fito da 13.10.3, 13.9.6, da 13.8.8. Koyaya, yin hukunci ta hanyar binciken 31 ga Oktoba na hanyar sadarwar duniya na 60 da ake samu a bainar jama'a GitLab, 50% na tsarin suna ci gaba da amfani da tsoffin juzu'in GitLab waɗanda ke da rauni ga rauni. An shigar da sabuntawar da ake buƙata akan 21% na sabobin da aka gwada, kuma akan 29% na tsarin ba zai yiwu a tantance lambar sigar da ake amfani da ita ba.
Halin rashin kulawa na masu gudanarwa na uwar garken GitLab don shigar da sabuntawa ya haifar da gaskiyar cewa raunin ya fara amfani da shi sosai ta hanyar maharan, wanda ya fara sanya malware a kan sabobin kuma ya haɗa su zuwa aikin botnet da ke shiga cikin hare-haren DDoS. A kololuwar sa, yawan zirga-zirgar ababen hawa yayin harin DDoS da botnet ya haifar akan sabar GitLab masu rauni ya kai terabit 1 a sakan daya.
Rashin lahani yana faruwa ne ta hanyar sarrafa fayilolin hoto da aka sauke ta kuskure ta hanyar bincike na waje dangane da ɗakin karatu na ExifTool. Rashin lahani a cikin ExifTool (CVE-2021-22204) ya ba da izinin aiwatar da umarni na sabani a cikin tsarin lokacin da ake tantance metadata daga fayiloli a cikin tsarin DjVu: (metadata (Haƙƙin mallaka "\" .qx{echo test>/tmp/test} . "b"))
Haka kuma, tun da ainihin tsarin da aka ƙayyade a cikin ExifTool ta nau'in abun ciki na MIME, kuma ba tsawo na fayil ba, mai kai hari zai iya zazzage daftarin aiki na DjVu tare da yin amfani da shi a ƙarƙashin hoton JPG ko TIFF na yau da kullun (GitLab yana kiran ExifTool ga duk fayiloli tare da shi. jpg, jpeg kari da tiff don tsaftace alamun da ba dole ba). Misalin cin zarafi. A cikin tsoho na GitLab CE, ana iya kai hari ta hanyar aika buƙatun guda biyu waɗanda ba sa buƙatar tantancewa.
An shawarci masu amfani da GitLab da su tabbatar da cewa suna amfani da sigar yanzu kuma, idan suna amfani da tsohuwar saki, to nan da nan shigar da sabuntawa, kuma idan saboda wasu dalilai wannan ba zai yiwu ba, don zaɓar facin da ke toshe raunin. Hakanan ana shawartar masu amfani da tsarin da ba a buɗe su ba da su tabbatar da cewa tsarinsu bai lalace ba ta hanyar nazarin rajistan ayyukan da bincika asusun maharan da ake tuhuma (misali, dexbcx, dexbcx818, dexbcxh, dexbcxi da dexbcxa99).
source: budenet.ru