GitLab tau ceeb toom rau cov neeg siv txog kev nce siab hauv kev ua phem uas cuam tshuam nrog kev siv lub luag haujlwm tseem ceeb CVE-2021-22205, uas tso cai rau lawv los ua lawv cov cai nyob deb tsis muaj kev lees paub ntawm lub server uas siv GitLab kev sib koom tes tsim kho platform.
Qhov teeb meem tau tshwm sim hauv GitLab txij li version 11.9 thiab tau kho rov qab rau lub Plaub Hlis hauv GitLab tso tawm 13.10.3, 13.9.6, thiab 13.8.8. Txawm li cas los xij, kev txiav txim los ntawm Lub Kaum Hli 31 scan ntawm lub ntiaj teb network ntawm 60 qhov tshwm sim GitLab tshaj tawm, 50% ntawm cov tshuab txuas ntxiv siv cov qauv qub ntawm GitLab uas muaj kev cuam tshuam rau qhov tsis zoo. Cov kev hloov tshiab uas yuav tsum tau raug teeb tsa tsuas yog 21% ntawm cov servers tau sim, thiab ntawm 29% ntawm cov tshuab nws tsis tuaj yeem txiav txim siab tus lej siv.
Tus cwj pwm tsis saib xyuas ntawm GitLab server cov thawj coj rau kev txhim kho cov hloov tshiab tau ua rau qhov tseeb tias qhov tsis muaj zog tau pib siv zog los ntawm cov neeg tawm tsam, uas tau pib tso malware rau ntawm cov servers thiab txuas lawv mus rau kev ua haujlwm ntawm botnet koom nrog DDoS tawm tsam. Ntawm nws lub ncov, qhov ntim ntawm kev khiav tsheb thaum lub sijhawm DDoS nres tsim los ntawm botnet raws li cov neeg siv tsis raug GitLab tau mus txog 1 terabits ib ob.
Qhov tsis zoo yog tshwm sim los ntawm kev ua tsis raug ntawm cov duab rub tawm los ntawm ib qho parser sab nraud raws li ExifTool lub tsev qiv ntawv. Ib qhov tsis zoo hauv ExifTool (CVE-2021-22204) tso cai rau cov lus txib kom ua tiav hauv qhov system thaum parsing metadata los ntawm cov ntaub ntawv hauv DjVu hom: (metadata (Copyright "\ " . qx{echo test >/tmp/test} . \ "b"))
Ntxiv mus, txij li cov hom ntawv tiag tiag tau txiav txim siab hauv ExifTool los ntawm MIME cov ntsiab lus, thiab tsis yog cov ntaub ntawv txuas ntxiv, tus neeg tawm tsam tuaj yeem rub tawm DjVu cov ntaub ntawv nrog kev siv dag zog raws li cov duab JPG lossis TIFF (GitLab hu ExifTool rau txhua cov ntaub ntawv nrog. jpg, jpeg extensions thiab tiff los ntxuav cov cim npe tsis tsim nyog). Ib qho piv txwv ntawm exploit. Hauv kev teeb tsa lub neej ntawd ntawm GitLab CE, kev tawm tsam tuaj yeem ua tiav los ntawm kev xa ob qhov kev thov uas tsis tas yuav muaj kev lees paub.
GitLab cov neeg siv tau qhia kom paub tseeb tias lawv siv cov qauv tam sim no thiab, yog tias lawv siv qhov kev tso tawm tsis tu ncua, txhawm rau nruab qhov hloov tshiab tam sim ntawd, thiab yog tias vim li cas qhov no tsis tuaj yeem ua tau, xaiv ib thaj chaw uas thaiv qhov tsis zoo. Cov neeg siv ntawm cov tshuab tsis tau hloov kho kuj tau qhia kom paub tseeb tias lawv lub kaw lus tsis raug cuam tshuam los ntawm kev txheeb xyuas cov cav thiab kuaj xyuas cov nyiaj tsis txaus ntseeg (piv txwv li, dexbcx, dexbcx818, dexbcxh, dexbcxi thiab dexbcxa99).
Tau qhov twg los: opennet.ru