网络上还有3万台GitLab服务器尚未修补4月公开的重大漏洞

GitLab在今年4月修补了一个允许远端命令的重大安全漏洞CVE-2021-22205，不过，资安业者Rapid7近日发现，在网络上接近6万台GitLab服务器上，还有半数尚未修补。

CVE-2021-22205是因系统无法正确验证提交给文件解析器的图像所造成，而让骇客得以执行远端命令，当时GitLab把该漏洞列为CVSSv3 9.9等级的重大漏洞，因而进行紧急修补，但于今年9月再提高该漏洞的风险等级至CVSSv3 10.0。

资安业者则说明，该漏洞存在于GitLab所采用的ExifTool开源工具上，该工具负责移除图片的元资料，但因无法解析嵌入于上传图片的特定元资料，而导致程式执行。这意谓著骇客只要上传含有恶意命令的图片，就能开采漏洞并展开攻击。

CVE-2021-22205漏洞同时出现在GitLab Community Edition（CE）与GitLab Enterprise Edition（EE）版本中，且影响自11.9以来的所有版本，一直到13.10.3、13.9.6与13.8.8才修补。

Rapid7指出，今年6月就传出针对该漏洞的攻击行动，而且网络上还有许多公开的开采程式，相信随着该漏洞的详细资讯曝光，将会遭到愈来愈多的骇客锁定。

然而，根据Rapid7在10月31日的搜寻，公开网络上约有接近6万台的GitLab服务器，当中有29%不确定是否受到该漏洞的影响，有21%安装的是修补后的版本，但有高达50%安装了尚未修补的版本。

Rapid7除了督促GitLab用户马上修补该漏洞之外，也建议组织不要将GitLab服务器置放于公开网络上，若非得如此，应考虑以VPN加以保护。