Ua aʻo aku ʻo GitLab i nā mea hoʻohana e pili ana i ka hoʻonui ʻana i ka hana ʻino e pili ana i ka hoʻohana ʻana i ka vulnerability koʻikoʻi CVE-2021-22205, e hiki ai iā lākou ke hoʻokō mamao i kā lākou code me ka ʻole o ka hōʻoia ʻana ma kahi kikowaena e hoʻohana ana i ka GitLab collaborative development platform.
Aia ka pilikia ma GitLab mai ka mana 11.9 a ua hoʻopaʻa ʻia i ʻApelila ma GitLab hoʻokuʻu 13.10.3, 13.9.6, a me 13.8.8. Eia naʻe, i ka hoʻoholo ʻana ma ka ʻOkakopa 31 scan o kahi pūnaewele puni honua o 60 mau manawa GitLab i loaʻa i ka lehulehu, 50% o nā ʻōnaehana e hoʻomau i ka hoʻohana ʻana i nā mana kahiko o GitLab i maʻalahi i nā nāwaliwali. Ua hoʻokomo ʻia nā mea hou i koi ʻia ma 21% wale nō o nā kikowaena i hoʻāʻo ʻia, a ma 29% o nā ʻōnaehana ʻaʻole hiki ke hoʻoholo i ka helu mana e hoʻohana ʻia.
ʻO ka manaʻo mālama ʻole o nā luna kikowaena GitLab i ka hoʻokomo ʻana i nā mea hou i alakaʻi ʻia i ka hoʻomaka ʻana o ka nāwaliwali e hoʻohana ikaika ʻia e nā mea hoʻouka, nāna i hoʻomaka e kau i ka malware ma nā kikowaena a hoʻopili iā lākou i ka hana a kahi botnet e komo ana i nā hoʻouka kaua DDoS. I kona kiʻekiʻe, ʻo ka nui o ke kaʻa i ka wā o kahi hoʻouka kaua DDoS i hana ʻia e kahi botnet e pili ana i nā kikowaena GitLab palupalu i hiki i 1 terabits i kēlā me kēia kekona.
Hoʻokumu ʻia ka nāwaliwali ma muli o ka hana hewa ʻana o nā faila kiʻi i hoʻoiho ʻia e kahi parser waho e pili ana i ka waihona ExifTool. ʻO kahi nāwaliwali i ExifTool (CVE-2021-22204) i ʻae ʻia e hoʻokō ʻia nā kauoha arbitrary i loko o ka ʻōnaehana i ka wā e hoʻokaʻawale ai i nā metadata mai nā faila ma ka ʻano DjVu: (metadata (Copyright "\ ". qx{echo test >/tmp/test} . \ "b"))
Eia kekahi, ʻoiai ua hoʻoholo ʻia ke ʻano maoli ma ExifTool e ka ʻano ʻike MIME, ʻaʻole ka hoʻonui ʻia o ka faila, hiki i ka mea hoʻouka ke kiʻi i kahi palapala DjVu me kahi hoʻohana ma lalo o ke ʻano o kahi kiʻi JPG a i ʻole TIFF maʻamau (GitLab kāhea iā ExifTool no nā faila āpau me jpg, jpeg extensions a me tiff e hoʻomaʻemaʻe i nā hōʻailona pono ʻole). He laʻana o ka hoʻohana. Ma ka hoʻonohonoho paʻamau o GitLab CE, hiki ke hoʻokō ʻia kahi hoʻouka ʻana ma ka hoʻouna ʻana i ʻelua noi ʻaʻole koi i ka hōʻoia.
Manaʻo ʻia nā mea hoʻohana ʻo GitLab e hōʻoia i ka hoʻohana ʻana i ka mana o kēia manawa, a inā lākou e hoʻohana nei i kahi hoʻokuʻu kahiko, e hoʻokomo koke i nā mea hou, a inā no kekahi kumu ʻaʻole hiki ke hoʻohana ʻia, e hoʻopili i kahi pākuʻi e ālai i ka nāwaliwali. Hoʻomaopopo pū ʻia nā mea hoʻohana o nā ʻōnaehana unpatched e hōʻoia ʻaʻole e hoʻopili ʻia kā lākou ʻōnaehana ma ka nānā ʻana i nā lāʻau a me ka nānā ʻana i nā moʻolelo hoʻopiʻi kānalua (no ka laʻana, dexbcx, dexbcx818, dexbcxh, dexbcxi a me dexbcxa99).
Source: opennet.ru