GitLab e lemositse basebelisi ka keketseho ea ts'ebetso e mpe e amanang le ts'ebeliso ea ts'oaetso e kholo ea CVE-2021-22205, e ba lumellang hore ba phethe khoutu ea bona ba le hole ntle le netefatso ho seva e sebelisang sethala sa nts'etsopele sa tšebelisano sa GitLab.
Taba ena e bile teng ho GitLab ho tloha mofuta oa 11.9 mme e ile ea lokisoa morao ka Mmesa ho GitLab e lokolla 13.10.3, 13.9.6, le 13.8.8. Leha ho le joalo, ho latela tlhahlobo ea la 31 Mphalane ea marang-rang a lefats'e a 60 a fumanehang phatlalatsa a GitLab, 50% ea litsamaiso li ntse li tsoela pele ho sebelisa mefuta ea khale ea GitLab e kotsing ea ho ba kotsing. Lintlafatso tse hlokahalang li kentsoe ho 21% feela ea li-server tse lekiloeng, 'me ho 29% ea litsamaiso ho ne ho sa khonehe ho tseba hore na nomoro ea mofuta o sebelisoa ke efe.
Boikutlo bo sa tsotelleng ba batsamaisi ba seva sa GitLab ho kenya liapdeite bo lebisitse ho taba ea hore ts'oaetso e qalile ho sebelisoa hampe ke bahlaseli, ba ileng ba qala ho beha malware ho li-server le ho li hokahanya le mosebetsi oa botnet e nkang karolo litlhaselong tsa DDoS. Sehlohlolong sa eona, palo ea sephethephethe nakong ea tlhaselo ea DDoS e hlahisoang ke botnet e ipapisitseng le li-server tsa GitLab tse tlokotsing e fihlile ho terabits e le 'ngoe motsotsoana.
Kotsi e bakoa ke ts'ebetso e fosahetseng ea lifaele tsa litšoantšo tse jarollotsoeng ke mohlahlobi oa kantle ho latela laeborari ea ExifTool. Ho ba kotsing ho ExifTool (CVE-2021-22204) ho ile ha lumella litaelo tse sa reroang hore li etsoe tsamaisong ha ho arola metadata ho tsoa lifaeleng tsa sebopeho sa DjVu: (metadata (Copyright "\ " . qx{echo test >/tmp/test} . \ "b"))
Ho feta moo, kaha sebopeho sa 'nete se ne se khethiloe ho ExifTool ke mofuta oa litaba oa MIME, eseng katoloso ea faele, mohlaseli a ka khoasolla tokomane ea DjVu e nang le ts'ebeliso e ka tlas'a sebopeho sa setšoantšo se tloaelehileng sa JPG kapa TIFF (GitLab e bitsa ExifTool bakeng sa lifaele tsohle jpg, jpeg extensions le tiff ho hloekisa li-tag tse sa hlokahaleng). Mohlala oa ts'ebeliso. Ka tlhophiso ea kamehla ea GitLab CE, tlhaselo e ka etsoa ka ho romella likopo tse peli tse sa hlokeng netefatso.
Basebelisi ba GitLab ba eletsoa ho etsa bonnete ba hore ba sebelisa mofuta oa hajoale, 'me, haeba ba sebelisa tokollo ea khale, ho kenya liapdeite hang-hang, mme haeba ka lebaka le itseng sena se sa khonehe, ho khetha patch e thibelang tlokotsi. Basebelisi ba lisebelisoa tse sa ngolisoang ba boetse ba eletsoa ho etsa bonnete ba hore tsamaiso ea bona ha e fokotsehe ka ho hlahloba li-log le ho hlahloba li-account tsa bahlaseli ba belaetsang (mohlala, dexbcx, dexbcx818, dexbcxh, dexbcxi le dexbcxa99).
Source: opennet.ru