GitLab колдонуучуларга CVE-2021-22205 критикалык аялуулугун эксплуатациялоого байланыштуу зыяндуу аракеттердин көбөйүшү жөнүндө эскертти, бул аларга GitLab биргелешип иштеп чыгуу платформасын колдонгон серверде аутентификациясыз өз кодун алыстан аткарууга мүмкүндүк берет.
Бул көйгөй GitLab'та 11.9 версиясынан бери бар жана апрель айында GitLab'тын 13.10.3, 13.9.6 жана 13.8.8 версияларында оңдолгон. Бирок, 31-октябрда жүргүзүлгөн 60 000 жалпыга жеткиликтүү GitLab инстанцияларынын глобалдык тармактык сканерлөөсүнө ылайык, системалардын 50% эскирген, аялуу GitLab версияларын колдонууну улантууда. Сканерленгендердин 21% гана керектүү жаңыртууларды орноткон. серверлер, ал эми системалардын 29%ында колдонулуп жаткан версиянын номерин аныктоо мүмкүн болгон жок.
GitLab сервер администраторлорунун жаңыртууларды орнотууга болгон шалаакы мамилеси чабуулчулар тарабынан алсыздыкты активдүү пайдаланууга алып келди, алар аны жайгаштыра башташты. серверлер зыяндуу программаны жок кылып, аларды DDoS чабуулдарына катышкан ботнетке туташтырыңыз. Эң жогорку чегинде, аялуу GitLab серверлерине негизделген ботнет тарабынан түзүлгөн DDoS чабуулу учурундагы трафиктин көлөмү секундасына 1 терабитке жеткен.
Алсыздык ExifTool китепканасына негизделген тышкы анализдөөчү тарабынан жүктөлүп алынган сүрөт файлдарын туура эмес иштетүүдөн келип чыккан. ExifTool (CVE-2021-22204) кемчилиги DjVu форматындагы файлдардан метаберилиштерди талдоодо системада ыктыярдуу буйруктарды аткарууга мүмкүндүк берди: (металыматтар (Автордук укук "\ " . qx{echo test >/tmp/test} . \ "б"))
Мындан тышкары, иш жүзүндө формат ExifToolдо файл кеңейтүүсү эмес, MIME мазмун түрү боюнча аныкталгандыктан, чабуулчу кадимки JPG же TIFF сүрөтүнө жамынып алып DjVu документин эксплуатация менен жүктөй алат (GitLab бардык файлдар үчүн ExifTool чакырат. jpg, jpeg кеңейтүүлөрү жана керексиз тегдерди тазалоо үчүн tiff). Эксплуатациянын мисалы. GitLab CE демейки конфигурациясында аутентификацияны талап кылбаган эки суроону жөнөтүү аркылуу чабуул жасалышы мүмкүн.
GitLab колдонуучуларына алардын учурдагы версиясын колдонуп жатканын текшерип, эгер алар эскирген релизди колдонуп жатышкан болсо, жаңыртууларды дароо орнотууну, ал эми кандайдыр бир себептерден улам бул мүмкүн болбосо, алсыздыкты блоктоочу патчты тандап колдонуу сунушталат. Түзөтүлбөгөн системалардын колдонуучуларына журналдарды талдоо жана шектүү чабуулчу эсептерди (мисалы, dexbcx, dexbcx818, dexbcxh, dexbcxi жана dexbcxa99) текшерүү аркылуу алардын тутумунун бузулбасын камсыз кылуу сунушталат.
Source: opennet.ru
