高危漏洞曝光半年之久,超一半的GitLab服务器仍未修复

安全 漏洞
据Rapid7发布的报告显示,半年多以前已经披露的一个高危漏洞,直到现在竟然还有一多半的GitLab 服务器仍然没有进行修复。

近年来,随着开源技术如火如荼地发展,各行各业纷纷开始选择拥抱开源,给产业发展升级带来了新的活力。

但不可否认的是,开源技术的安全性依旧是一个难以解决的难题,甚至已经开始影响开源生态的健康发展。作为一个开放的形态,开源技术更侧重技术的应用,而忽略了技术本身是否安全,因此对于漏洞修复并不积极。

据Rapid7发布的报告显示,半年多以前已经披露的一个高危漏洞,直到现在竟然还有一多半的GitLab 服务器仍然没有进行修复。犯罪分子完全可以利用这个已知的漏洞发起网络攻击。

这里先简单介绍一下该漏洞的基本情况。

2021年4月14日,安全研究人员发现一个GitLab 服务器远程命令执行漏洞,编号CVE-2021-22205,CVSS v3评分为10.0。该漏洞在无需进行身份验证的情况下即可进行利用,社区版(CE)和企业版(EE)皆受影响。

4月15日,GitLab官方发布安全更新修复了此GitLab命令执行漏洞(CVE-2021-22205),由于GitLab中的ExifTool没有对传入的图像文件的扩展名进行正确处理,攻击者通过上传特制的恶意图片,可以在目标服务器上执行任意命令,还可以访问存储库,甚至是删除、修改和窃取源代码。

该漏洞正在被利用

由于很多GitLab 服务器迟迟未修复漏洞,让不法分子有了可趁之机。2021年6月,威胁组织开始利用该漏洞,他们在GitLab 服务器中创建新账号,并赋予管理员权限。在这个过程中,攻击者不需要验证或使用 CSRF 令牌,甚至不需要一个有效的 HTTP 端点来使用漏洞。

为了进一步确定该漏洞的潜在影响范围,国际知名网络安全公司Rapid7开始调查尚未修复漏洞的GitLab 服务器数量。

调查结果令人大吃一惊。数据显示,截止到2021年11月,被调查的6W个GitLab 服务器中,50%以上没有针对性修复该漏洞;29%不确定是否存在漏洞,因为无法提取这些服务器的版本字符串。

这意味着只有20%左右的GitLab 服务器是确定修复了该漏洞。这还仅仅是这个漏洞的修复情况,那么其他的高危漏洞呢,又有多少修复了的?

在报告中,安全研究人员建议用户将GitLab社区版(CE)和企业版(EE)版本升级至13.10.3、13.9.6和13.8.8进行防护。

参考来源:

https://www.bleepingcomputer.com/news/security/over-30-000-gitlab-servers-still-unpatched-against-critical-bug/

 

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2021-11-04 11:10:22

网络安全网络安全技术周刊

2009-04-09 19:21:02

Vmware虚拟化服务器

2011-11-07 10:06:28

惠普ARM服务器Moonshot

2021-10-09 08:21:46

Windows 11微软Lansweeper

2023-07-31 11:03:39

应用Threads

2015-07-27 10:24:01

苹果中国

2017-01-03 19:48:33

2012-08-30 16:23:53

2020-12-04 10:11:26

Unsafejava并发包

2013-02-25 10:11:35

4GLTE商用网络

2022-04-26 16:52:59

漏洞网络攻击者谷歌

2009-08-27 09:25:33

GoogleChrome高危漏洞Mozilla

2021-08-12 09:10:11

网络攻击远程攻击网络安全

2021-08-13 11:23:10

网络安全数据医疗

2018-06-15 09:18:16

高通服务器芯片

2015-12-10 10:13:22

2011-04-27 09:21:24

微软半宽服务器

2016-11-08 19:44:08

2020-10-05 21:41:58

漏洞网络安全网络攻击

2022-12-06 15:13:55

点赞
收藏

51CTO技术栈公众号