GitLab ayaa uga digtay isticmaaleyaasha kororka hawlaha xaasidnimada ah ee la xidhiidha ka faa'iidaysiga nuglaanta halista ah ee CVE-2021-22205, taas oo u oggolaanaysa inay meel fog ka fuliyaan koodka koodka iyaga oo aan la aqoonsan server-ka adeegsada goobta horumarinta iskaashiga ee GitLab.
Arrintu waxay ku jirtay GitLab tan iyo nooca 11.9 waxaana la hagaajiyay bishii Abriil ee GitLab siidaynta 13.10.3, 13.9.6, iyo 13.8.8. Si kastaba ha ahaatee, marka la eego sawirka Oktoobar 31 ee shabakad caalami ah oo 60 ah oo si caam ah loo heli karo Tusaalooyin GitLab ah, 50% nidaamyada waxay sii wadaan adeegsiga noocyada duugoobay ee GitLab ee u nugul nuglaanshaha. Cusbooneysiinta loo baahan yahay waxaa lagu rakibay kaliya 21% server-yada la tijaabiyay, iyo 29% nidaamyada ma suurtagalin in la go'aamiyo lambarka nooca la isticmaalayo.
Dabeecadda taxadar la'aanta ah ee maamulayaasha server-ka GitLab si ay u rakibaan cusbooneysiinta waxay keentay xaqiiqda ah in nuglaanta ay bilaabeen in ay si firfircoon uga faa'iideystaan ββweeraryahannada, kuwaas oo bilaabay in ay dhigaan malware-ka server-yada oo ay ku xiraan shaqada botnet ee ka qaybqaadanaya weerarrada DDoS. Markay ugu sarraysay, mugga taraafikada intii lagu jiray weerarka DDoS ee ay abuurtay botnet ku salaysan adeegayaasha GitLab ee nugul ayaa gaadhay 1 terabit ilbiriqsikii.
Nuglaanta waxaa sababa habaynta khaldan ee faylalka sawirka la soo dejiyey ee uu sameeyo baarser dibadeed oo ku salaysan maktabadda ExifTool. Nuglaanta gudaha ExifTool (CVE-2021-22204) waxay ogolaatay amarro aan sabab lahayn in lagu fuliyo nidaamka marka la kala saarayo xogta badan ee faylalka qaabka DjVu: (metadata ( Xuquuqda daabacaadda "\" . qx {echo test>/tmp/test} . \ "b"))
Intaa waxaa dheer, maadaama qaabka dhabta ah lagu go'aamiyay ExifTool nooca MIME, oo aan ahayn fidinta faylka, weerarku wuxuu soo dejisan karaa dukumeenti DjVu ah oo leh faa'iido hoos yimaada sawirka JPG ama TIFF caadiga ah (GitLab wuxuu ugu yeeraa ExifTool dhammaan faylasha leh jpg, jpeg kordhinta iyo tiff si loo nadiifiyo sumadaha aan loo baahnayn). Tusaale ka faa'iidaysi. Qaabka caadiga ah ee GitLab CE, weerarka waxaa lagu fulin karaa in la diro laba codsi oo aan u baahnayn xaqiijin.
Isticmaalayaasha GitLab waxaa lagula talinayaa inay hubiyaan inay isticmaalayaan nooca hadda iyo, haddii ay isticmaalayaan sii-deynta duugowday, inay isla markiiba rakibaan cusbooneysiinta, iyo haddii sabab qaar ka mid ah tani aysan suurtagal ahayn, inay doortaan balastar xannibaya dayacanka. Isticmaalayaasha nidaamyada aan la daboolin ayaa sidoo kale lagula talinayaa inay xaqiijiyaan in nidaamkooda uusan wax u dhimin iyagoo falanqeynaya diiwaanka iyo hubinta akoonnada laga shakiyo (tusaale, dexbcx, dexbcx818, dexbcxh, dexbcxi iyo dexbcxa99).
Source: opennet.ru