逾3万台 GitLab 服务器仍未修复严重漏洞

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

该漏洞的CVSS v3 编号为满分10分，可导致未认证的远程攻击者以 “git” 用户身份（仓库管理员）执行任意命令。该漏洞可使远程攻击者完全访问该仓库，包括删除、修改和窃取源代码。

黑客首先在2021年6月开始利用面向互联网的 GitLab 服务器，创建新用户并授予管理员权限。恶意人员利用的是2021年6月4日在 GitHub 上发布的exploit并滥用易受攻击的 ExifTool 组件。恶意人员无需认证或适用 CSRF 令牌甚至合法的HTTP 端点就能利用该 exploit。

Rapid 7 公司的研究员决定查看未修复系统的数量并判断该底层问题的范围。研究员在报告中指出，在所部署的6万台面向互联网的 GitLab 服务器中，至少有50%未修复该漏洞。另外29%可能易受攻击或可能不受攻击，因为分析师无法提取服务器的版本字符串。

管理员需要更新至 13.10.3 或13.9.6 版本修复该漏洞。

低于这两个版本的11.9版本易受攻击，不管用户用的是 GitLab 企业版 (EE) 还是 GitLab 社区版 (CE)。

为确保GitLab 实例不受影响，用户可检查实例对 POST 请求的响应，这些请求试图利用 ExifTool 对镜像文件的错误处理。已修复版本虽然仍然可使用户访问 ExifTool，但请求响应应当会通过 HTTP 404 错误予以拒绝。