GitLab adọla ndị ọrụ aka na ntị banyere mmụba nke omume ọjọọ metụtara nrigbu nke adịghị ike dị egwu CVE-2021-22205, nke na-enye ha ohere ime ngwa ngwa koodu ha na-enweghị nkwenye na sava nke na-eji usoro mmepe mmekọrịta GitLab.
Okwu a dị na GitLab kemgbe ụdị 11.9 wee dozie ya azụ n'April na GitLab wepụtara 13.10.3, 13.9.6, na 13.8.8. Agbanyeghị, na-ekpe ikpe site na nyocha October 31 nke netwọkụ zuru ụwa ọnụ nke 60 dị n'ihu ọha GitLab ikpe, 50% nke sistemu na-aga n'ihu na-eji ụdị GitLab emechiela nke nwere ike ịnweta adịghị ike. Awụnyere mmelite achọrọ na naanị 21% nke sava ndị a nwalere, yana na 29% nke sistemu enweghị ike ịchọpụta nọmba ụdị a na-eji.
Àgwà ịkpachapụ anya nke ndị na-ahụ maka ihe nkesa GitLab na ịwụnye mmelite mere ka eziokwu ahụ bụrụ na ndị na-awakpo malitere iji ike na-eme ihe ike, bụ ndị malitere itinye malware na sava wee jikọọ ha na ọrụ nke botnet na-ekere òkè na mwakpo DDoS. N'elu ọnụ ọgụgụ ya, olu nke okporo ụzọ n'oge mwakpo DDoS nke botnet mepụtara dabere na sava GitLab na-adịghị ike ruru 1 terabit kwa nkeji.
A na-ebute adịghị ike ahụ site na nhazi faịlụ onyonyo ebudatara ezighi ezi site na nzacha mpụga dabere na ọbaakwụkwọ ExifTool. Ọdịmma dị na ExifTool (CVE-2021-22204) kwere ka emezu iwu aka ike na sistemụ ahụ mgbe ị na-atụgharị metadata sitere na faịlụ n'ụdị DjVu: (metadata (Copyright "\" . qx{echo test >/tmp/test} . "b"))
Ọzọkwa, ebe ọ bụ na ụdị ọdịnaya MIME kpebisiri ike na ExifTool, ọ bụghị ndọtị faịlụ, onye na-awakpo ahụ nwere ike budata akwụkwọ DjVu nke nwere nrigbu n'okpuru ọdịdị JPG ma ọ bụ TIFF mgbe niile (GitLab na-akpọ ExifTool maka faịlụ niile nwere. jpg, jpeg ndọtị na tiff iji hichaa mkpado na-enweghị isi). Ihe atụ nke nrigbu. Na nhazi ndabere nke GitLab CE, enwere ike ibuso ọgụ site na izipu arịrịọ abụọ na-achọghị nyocha.
A na-atụ aro ndị ọrụ GitLab ka ha hụ na ha na-eji ụdị dị ugbu a yana, ọ bụrụ na ha na-eji ntọhapụ emechiela, ka wụnye mmelite ozugbo, ma ọ bụrụ n'ihi ihe ụfọdụ nke a agaghị ekwe omume, họrọ itinye patch na-egbochi adịghị ike ahụ. A na-adụ ndị na-eji sistemu arụghị ọrụ ọdụ ka ha hụ na sistemu ha adịghị emebi emebi site na inyocha ndekọ na ịlele akaụntụ ndị na-enyo enyo (dịka ọmụmaatụ, dexbcx, dexbcx818, dexbcxh, dexbcxi na dexbcxa99).
isi: opennet.ru