Kua whakatupato a GitLab ki nga kaiwhakamahi mo te pikinga o nga mahi kino e pa ana ki te whakaraeraetanga o te whakaraeraetanga CVE-2021-22205, e taea ai e ratou te mahi mamao i o raatau waehere me te kore whakamotuhēhēnga i runga i te tūmau e whakamahi ana i te papaaho whanaketanga mahi tahi a GitLab.
Ko te take kei roto i te GitLab mai i te putanga 11.9 ka whakatikahia ano i te Paenga-whāwhā i GitLab tuku 13.10.3, 13.9.6, me 13.8.8. Heoi, ka whakatauhia e te 31 o Oketopa te karapa o te whatunga o te ao o te 60 GitLab e waatea ana ki te iwi whanui, 50% o nga punaha kei te whakamahi tonu i nga putanga tawhito o GitLab e whakaraerae ana ki nga whakaraeraetanga. Ko nga whakahoutanga e hiahiatia ana i whakauruhia ki runga i te 21% anake o nga kaitoro i whakamatauria, a, i runga i te 29% o nga punaha kaore i taea te whakatau i te nama putanga e whakamahia ana.
Ko te whakaaro pohehe o nga kaiwhakahaere tūmau GitLab ki te whakauru i nga whakahoutanga i arahina ki te meka i timata te whakaraeraetanga ki te kaha ki te whakamahi i te hunga whakaeke, i timata ki te whakauru i te kino ki runga i nga kaitoro me te hono atu ki nga mahi a te botnet e uru ana ki nga whakaeke DDoS. I tona tihi, ko te nui o te hokohoko i te wa o te whakaeke DDoS i hangaia e te botnet i runga i nga kaitoro GitLab whakaraerae i tae ki te 1 terabits ia rua.
Ko te whakaraeraetanga i puta mai i te he o te tukatuka o nga konae atahanga kua tangohia e tetahi parser o waho i runga i te whare pukapuka ExifTool. Na te whakaraeraetanga i roto i te ExifTool (CVE-2021-22204) i whakaaetia kia mahia nga whakahau i roto i te punaha i te wa e poroporoaki ana i nga metadata mai i nga konae kei te whakatakotoranga DjVu: (metadata (Manarua "\ " . qx{echo test >/tmp/test} . \ "b"))
I tua atu, i te mea i whakatauhia te whakatakotoranga tuuturu i roto i te ExifTool e te momo ihirangi MIME, kaua ko te toronga konae, ka taea e te kaikorero te tango i tetahi tuhinga DjVu me te whakamahi i raro i te ahua o te ahua JPG, TIFF ranei (Ka karanga a GitLab ki a ExifTool mo nga konae katoa. jpg, jpeg toronga me te tiff hei horoi i nga tohu kaore e tika ana). He tauira o te mahi. I roto i te whirihoranga taunoa o GitLab CE, ka taea te whakaeke ma te tuku i nga tono e rua kaore e hiahiatia he motuhēhēnga.
Ka tūtohuhia nga kaiwhakamahi GitLab ki te whakarite kei te whakamahi ratou i te putanga o naianei, a, mena kei te whakamahi ratou i te tukunga tawhito, ki te whakauru tonu i nga whakahoutanga, a ki te kore e taea tenei, ki te whiriwhiri i tetahi papaki e aukati ana i te whakaraeraetanga. Ka tohutohuhia nga kaiwhakamahi o nga punaha kaore ano kia whakaraeraehia to raatau punaha ma te tarai i nga raarangi me te tirotiro mo nga kaute kaitukino (hei tauira, dexbcx, dexbcx818, dexbcxh, dexbcxi me dexbcxa99).
Source: opennet.ru