APP下载

网络上还有3万台GitLab服务器尚未修补4月公开的重大漏洞

消息来源:baojiabao.com 作者: 发布时间:2024-11-25

报价宝综合消息网络上还有3万台GitLab服务器尚未修补4月公开的重大漏洞
图片来源: 

GitLab

GitLab在今年4月修补了一个允许远端命令的重大安全漏洞CVE-2021-22205,不过,资安业者Rapid7近日发现,在网络上接近6万台GitLab服务器上,还有半数尚未修补。

CVE-2021-22205是因系统无法正确验证提交给文件解析器的图像所造成,而让骇客得以执行远端命令,当时GitLab把该漏洞列为CVSSv3 9.9等级的重大漏洞,因而进行紧急修补,但于今年9月再提高该漏洞的风险等级至CVSSv3 10.0。

资安业者则说明,该漏洞存在于GitLab所采用的ExifTool开源工具上,该工具负责移除图片的元资料,但因无法解析嵌入于上传图片的特定元资料,而导致程式执行。这意谓著骇客只要上传含有恶意命令的图片,就能开采漏洞并展开攻击。

CVE-2021-22205漏洞同时出现在GitLab Community Edition(CE)与GitLab Enterprise Edition(EE)版本中,且影响自11.9以来的所有版本,一直到13.10.3、13.9.6与13.8.8才修补。

Rapid7指出,今年6月就传出针对该漏洞的攻击行动,而且网络上还有许多公开的开采程式,相信随着该漏洞的详细资讯曝光,将会遭到愈来愈多的骇客锁定。

然而,根据Rapid7在10月31日的搜寻,公开网络上约有接近6万台的GitLab服务器,当中有29%不确定是否受到该漏洞的影响,有21%安装的是修补后的版本,但有高达50%安装了尚未修补的版本。

Rapid7除了督促GitLab用户马上修补该漏洞之外,也建议组织不要将GitLab服务器置放于公开网络上,若非得如此,应考虑以VPN加以保护。

2021-11-03 12:47:00

相关文章