圖片來源: 

GitLab

GitLab在今年4月修補了一個允許遠端命令的重大安全漏洞CVE-2021-22205,不過,資安業者Rapid7近日發現,在網路上接近6萬臺GitLab伺服器上,還有半數尚未修補。

CVE-2021-22205是因系統無法正確驗證提交給文件解析器的圖像所造成,而讓駭客得以執行遠端命令,當時GitLab把該漏洞列為CVSSv3 9.9等級的重大漏洞,因而進行緊急修補,但於今年9月再提高該漏洞的風險等級至CVSSv3 10.0。

資安業者則說明,該漏洞存在於GitLab所採用的ExifTool開源工具上,該工具負責移除圖片的元資料,但因無法解析嵌入於上傳圖片的特定元資料,而導致程式執行。這意謂著駭客只要上傳含有惡意命令的圖片,就能開採漏洞並展開攻擊。

CVE-2021-22205漏洞同時出現在GitLab Community Edition(CE)與GitLab Enterprise Edition(EE)版本中,且影響自11.9以來的所有版本,一直到13.10.3、13.9.6與13.8.8才修補。

Rapid7指出,今年6月就傳出針對該漏洞的攻擊行動,而且網路上還有許多公開的開採程式,相信隨著該漏洞的詳細資訊曝光,將會遭到愈來愈多的駭客鎖定。

然而,根據Rapid7在10月31日的搜尋,公開網路上約有接近6萬臺的GitLab伺服器,當中有29%不確定是否受到該漏洞的影響,有21%安裝的是修補後的版本,但有高達50%安裝了尚未修補的版本。

Rapid7除了督促GitLab用戶馬上修補該漏洞之外,也建議組織不要將GitLab伺服器置放於公開網路上,若非得如此,應考慮以VPN加以保護。

熱門新聞

Advertisement