摘要:發(fā)布的分析寫道。盡管補(bǔ)丁已經(jīng)公開發(fā)布了個(gè)多月���,但在個(gè)面向互聯(lián)網(wǎng)的安裝中的安裝已經(jīng)針對(duì)這個(gè)問題打了完整的補(bǔ)丁。的安裝可能存在或不存在漏洞���。此外��,理想情況下�,不應(yīng)該是面向的服務(wù)���。
盡管該漏洞最初被認(rèn)為是經(jīng)過身份驗(yàn)證的RCE 案例并分配了9.9的CVSS評(píng)分���,但由于未經(jīng)身份驗(yàn)證的威脅行為者也可能觸發(fā)該漏洞,因此嚴(yán)重性評(píng)級(jí)在2021年9月21日修訂為10.0��。
該漏洞存在于ExifTool中�,ExifTool是一個(gè)用于從圖像中刪除元數(shù)據(jù)的開源工具,它無法解析嵌入在上傳圖像中的某些元數(shù)據(jù),導(dǎo)致如下所述的代碼執(zhí)行���。HN Security發(fā)布的分析寫道��。
盡管補(bǔ)丁已經(jīng)公開發(fā)布了6個(gè)多月�����,但在60,000個(gè)面向互聯(lián)網(wǎng)的GitLab安裝中:
21%的安裝已經(jīng)針對(duì)這個(gè)問題打了完整的補(bǔ)丁��。
50%的安裝沒有針對(duì)這個(gè)問題打補(bǔ)丁���。
29%的安裝可能存在或不存在漏洞。
建議GitLab用戶立即更新安裝����。
此外,理想情況下�����,GitLab不應(yīng)該是面向Internet的服務(wù)����。如果需要從Internet訪問GitLab��,建議將其置于VPN之后���。
GitLab作為一個(gè)開源分布式版本控制系統(tǒng),可以用來管理項(xiàng)目源代碼�、版本控制、代碼復(fù)用與查找���。從項(xiàng)目計(jì)劃和源代碼管理到CI/CD和監(jiān)控��,GitLab可以在整個(gè)DevOps生命周期中發(fā)揮作用�����。隨著DevsecOps概念的提出和發(fā)展,安全問題已貫穿整個(gè)開發(fā)周期當(dāng)中���。GitLab中的安全漏洞問題不但影響產(chǎn)品本身的安全性�,而且在開發(fā)中很可能為應(yīng)用程序帶來安全問題�����。
網(wǎng)絡(luò)安全事件層出不窮����,美國國家標(biāo)準(zhǔn)與技術(shù)局(NIST)��、國家漏洞數(shù)據(jù)庫(NVD)數(shù)據(jù)顯示:90%以上的網(wǎng)絡(luò)安全問題是由軟件自身的安全漏洞被利用導(dǎo)致的!針對(duì)軟件中的安全漏洞�����,在開發(fā)期間通過安全可信的靜態(tài)代碼檢測(cè)工具�,可以及時(shí)發(fā)現(xiàn)代碼缺陷及潛在的安全漏洞�����,利于開發(fā)人員第一時(shí)間修正安全問題�,提高軟件自身安全性。
參讀鏈接:
securityaffairs.co/wordpress/1…
thehackernews.com/2021/11/ale…
