GitLab dia nampitandrina ireo mpampiasa momba ny fitomboan'ny asa ratsy mifandraika amin'ny fitrandrahana ny vulnerability CVE-2021-22205 manakiana, izay ahafahan'izy ireo manatanteraka lavitra ny kaody tsy misy fanamarinana amin'ny mpizara mampiasa ny sehatra fampandrosoana fiaraha-miasa GitLab.
Ny olana dia efa tao amin'ny GitLab nanomboka tamin'ny version 11.9 ary naverina tamin'ny volana aprily tao amin'ny GitLab namoaka 13.10.3, 13.9.6 ary 13.8.8. Na izany aza, raha jerena ny scan tamin'ny 31 Oktobra tamin'ny tambajotra manerantany misy tranga GitLab 60 ampahibemaso, ny 50% amin'ny rafitra dia manohy mampiasa dikan-teny GitLab efa lany andro izay mora iharan'ny vulnerability. Ny fanavaozam-baovao ilaina dia napetraka tamin'ny 21% amin'ireo mpizara voasedra, ary amin'ny 29% amin'ny rafitra dia tsy azo atao ny mamaritra ny laharan'ny dikan-teny ampiasaina.
Ny fihetsika tsy fitandremana nataon'ireo mpitantana ny mpizara GitLab tamin'ny fametrahana fanavaozana dia nitarika ny fisian'ny vulnerability nanomboka nanararaotra ny mpanafika, izay nanomboka nametraka malware amin'ny lohamilina ary mampifandray azy ireo amin'ny asan'ny botnet mandray anjara amin'ny fanafihana DDoS. Tamin'ny fara tampony dia nahatratra 1 terabits isan-tsegondra ny habetsahan'ny fifamoivoizana nandritra ny fanafihana DDoS vokatry ny botnet mifototra amin'ireo mpizara GitLab marefo.
Ny vulnerable dia vokatry ny fanodinana diso ny rakitra sary alaina amin'ny parser ivelany mifototra amin'ny tranomboky ExifTool. Ny vulnerable ao amin'ny ExifTool (CVE-2021-22204) dia namela baiko tsy misy dikany hotanterahina ao amin'ny rafitra rehefa manaparitaka metadata avy amin'ny rakitra amin'ny endrika DjVu: (metadata (Copyright "\ " . qx{echo test >/tmp/test} . \ "b"))
Ankoatr'izay, satria ny endrika tena izy dia voafaritra ao amin'ny ExifTool amin'ny alΓ lan'ny karazana atiny MIME, fa tsy ny fanitarana ny rakitra, ny mpanafika dia afaka misintona antontan-taratasy DjVu miaraka amin'ny fanararaotana amin'ny endrika sary JPG na TIFF mahazatra (GitLab dia miantso ExifTool ho an'ny rakitra rehetra miaraka amin'ny rakitra. jpg, fanitarana jpeg ary tiff hanadio ireo marika tsy ilaina). Ohatra amin'ny fanararaotana. Ao amin'ny konfigurasi default an'ny GitLab CE dia azo atao ny fanafihana amin'ny fandefasana fangatahana roa tsy mila fanamarinana.
Ireo mpampiasa GitLab dia asaina miantoka fa mampiasa ny kinova ankehitriny izy ireo ary, raha mampiasa famoahana efa lany andro izy ireo, dia hametraka avy hatrany ny fanavaozam-baovao, ary raha toa ka tsy azo atao izany, dia asio fantenana patch izay manakana ny vulnerable. Manoro hevitra ihany koa ireo mpampiasa ny rafitra tsy voafehy mba hahazoana antoka fa tsy ho levona ny rafitr'izy ireo amin'ny alΓ lan'ny famakafakana ireo diary sy ny fanamarinana ireo kaonty mpanafika mampiahiahy (ohatra, dexbcx, dexbcx818, dexbcxh, dexbcxi ary dexbcxa99).
Source: opennet.ru