ګیټ لاب کاروونکو ته د بریدګرو د زیاتوالي په اړه خبرداری ورکړی چې د CVE-2021-22205 د جدي زیان مننې څخه د ګټې اخیستنې پورې اړه لري، کوم چې د ګیټ لاب د همکارۍ پراختیا پلیټ فارم چلولو سرور کې د تصدیق پرته د لرې کوډ اجرا کولو ته اجازه ورکوي.
دا ستونزه په ګیټ لیب کې د ۱۱.۹ نسخې راهیسې شتون لري او په اپریل کې په ګیټ لیب ۱۳.۱۰.۳، ۱۳.۹.۶، او ۱۳.۸.۸ کې حل شوه. په هرصورت، د اکتوبر په ۳۱مه ترسره شوي د ۶۰،۰۰۰ عامه لاسرسي وړ ګیټ لیب مثالونو د نړیوال شبکې سکین له مخې، ۵۰٪ سیسټمونه د زړو، زیان منونکو ګیټ لیب نسخو کارولو ته دوام ورکوي. یوازې ۲۱٪ سکین شوي اړین تازه معلومات نصب شوي دي. سرورونه، او په 29٪ سیسټمونو کې دا ممکنه نه وه چې د کارول شوي نسخې شمیره معلومه شي.
د ګیټ لیب سرور مدیرانو د تازه معلوماتو نصبولو په اړه غفلت چلند د دې لامل شو چې زیانمنونکي په فعاله توګه د بریدګرو لخوا وکارول شي چې په کې یې ځای پرځای کول پیل کړل. سرورونه مالویر او دوی د DDoS بریدونو کې ښکیل بوټنیټ سره وصل کړئ. په خپل اوج کې، د DDoS برید په جریان کې د ټرافیک حجم چې د زیان منونکو GitLab سرورونو پراساس د بوټنیټ لخوا رامینځته شوی په هر ثانیه کې 1 ټیرابایټ ته ورسید.
دا زیان منونکی د ExifTool کتابتون پر بنسټ د بهرني پارسر لخوا د اپلوډ شوي عکس فایلونو ناسم اداره کولو له امله رامینځته کیږي. په ExifTool (CVE-2021-22204) کې زیان منونکی د DjVu فایلونو څخه د میټاډاټا پارس کولو پرمهال د خپل سري سیسټم امرونو اجرا کولو ته اجازه ورکړه: (میټاډاټا (کاپي حق "\ " . qx{echo test >/tmp/test} . \ " b ") )
سربېره پردې، څرنګه چې اصلي بڼه په ExifTool کې د فایل توسیع پرځای د MIME منځپانګې ډول لخوا ټاکل شوې وه، یو بریدګر کولی شي د استحصال وړ DjVu سند اپلوډ کړي چې د منظم JPG یا TIFF عکس په څیر پټ وي (GitLab د غیر ضروري ټګونو لرې کولو لپاره د jpg، jpeg، او tiff توسیعونو سره په ټولو فایلونو کې ExifTool غږوي). د استحصال مثال: د GitLab CE په ډیفالټ ترتیب کې، برید د دوه غوښتنو لیږلو سره ترسره کیدی شي چې تصدیق ته اړتیا نلري.
د ګیټ لیب کاروونکو ته مشوره ورکول کیږي چې ډاډ ترلاسه کړي چې دوی وروستۍ نسخه چلوي. که دوی زاړه نسخه کاروي، دوی باید سمدلاسه تازه معلومات نصب کړي. که دا د کوم دلیل لپاره ممکنه نه وي، دوی باید په انتخابي ډول یو پیچ پلي کړي چې زیان منونکي بند کړي. د زاړه سیسټمونو کاروونکو ته هم مشوره ورکول کیږي چې تصدیق کړي چې د دوی سیسټم د لاګونو تحلیل کولو او د شکمنو برید کونکو حسابونو (د مثال په توګه، dexbcx، dexbcx818، dexbcxh، dexbcxi، او dexbcxa99) لپاره چک کولو سره جوړجاړی شوی نه دی.
سرچینه: opennet.ru
