GitLab utentes monuit de incremento malitiosorum actuum pertinentium ad abusionem vulnerabilitatis criticae CVE-2021-22205, quae sinit eos remotum suum codicem facere sine authentica in servo qui GitLab progressionem collaborativam utitur in suggestu.
Lite in GitLab cum versione 11.9 interfuit et in mense Aprili in GitLab remissam remittit 13.10.3, 13.9.6, 13.8.8. Nihilominus, aestimans per 31 Octobrem retis globalis 60 instantiarum publice praesto GitLab, L% systematum pergunt ut versiones iam datas GitLab utantur quae ad vulnerabilitates obnoxiae sunt. Requisitae renovationes in tantum XXI% of servientibus probatae sunt institutae, et in 50% systematum numerum versionis adhibitum determinare non potuit.
Incuria administratorum GitLab habitus administratorum ad inaugurationes induxit eo quod vulnerabilitas ab oppugnatoribus active usurpari coepta est, qui in servitoribus malware ponere coepit et eos operi botneti participandi DDoS oppugnationum coniungere coepit. Ad apicem, volumen negotiationis per impetum DDoS generatum ab botnet fundatum in servientibus vulnerabilibus GitLab per alterum terabitum pervenit.
The vulnerabilitas causatur per falsas processus imaginum imaginum receptarum ab an externa parser innixa in bibliotheca ExifTool. vulnerabilitas in ExifTool (CVE-2021-22204) mandata arbitraria in systemate exsecutioni mandari permisit cum metadata metadata e lima in forma DjVu: (metadata (Copyright "\". qx{echo test >/tmp/test} . " b ") )
Praeterea, cum forma ipsa in ExifTool per MIME contenti generis determinata esset, et non extensio tabella, oppugnator documentum DjVu de facto per modum imaginis regularis JPG vel TIFF (GitLab vocat ExifTool pro omnibus fasciculis jpg, extensiones jpeg et tifices ut tags supervacuas emundare possint. Exemplum rei. In defalta configuratione GitLab CE, impetus perfici potest duabus petitionibus missis quae authenticas non requirunt.
Utentes GitLab commendantur ut emendatione utantur et, si iam emissione utantur, updates statim installandi et, si aliqua de causa id fieri non potest, utantur ad commissuram quae vulnerabilitatem impedit selective. Usores systematum incompositarum etiam monuerunt ut eorum systema tigna analysin non corrumpatur et rationes suspectas invasoris inhibeat (exempli gratia: dexbcx, dexbcx818, dexbcxh, dexbcxi et dexbcxa99).
Source: opennet.ru