资讯专栏INFORMATION COLUMN

补丁已发布近半年,50%联网的GitLab仍受到RCE缺陷漏洞影响

sherlock221 / 2688人阅读

摘要:发布的分析写道。尽管补丁已经公开发布了个多月,但在个面向互联网的安装中的安装已经针对这个问题打了完整的补丁。的安装可能存在或不存在漏洞。此外,理想情况下,不应该是面向的服务。

尽管该漏洞最初被认为是经过身份验证的RCE 案例并分配了9.9的CVSS评分,但由于未经身份验证的威胁行为者也可能触发该漏洞,因此严重性评级在2021年9月21日修订为10.0。

该漏洞存在于ExifTool中,ExifTool是一个用于从图像中删除元数据的开源工具,它无法解析嵌入在上传图像中的某些元数据,导致如下所述的代码执行。HN Security发布的分析写道。

尽管补丁已经公开发布了6个多月,但在60,000个面向互联网的GitLab安装中:

21%的安装已经针对这个问题打了完整的补丁。

50%的安装没有针对这个问题打补丁。

29%的安装可能存在或不存在漏洞。

建议GitLab用户立即更新安装。

此外,理想情况下,GitLab不应该是面向Internet的服务。如果需要从Internet访问GitLab,建议将其置于VPN之后。

GitLab作为一个开源分布式版本控制系统,可以用来管理项目源代码、版本控制、代码复用与查找。从项目计划和源代码管理到CI/CD和监控,GitLab可以在整个DevOps生命周期中发挥作用。随着DevsecOps概念的提出和发展,安全问题已贯穿整个开发周期当中。GitLab中的安全漏洞问题不但影响产品本身的安全性,而且在开发中很可能为应用程序带来安全问题。

网络安全事件层出不穷,美国国家标准与技术局(NIST)、国家漏洞数据库(NVD)数据显示:90%以上的网络安全问题是由软件自身的安全漏洞被利用导致的!针对软件中的安全漏洞,在开发期间通过安全可信的静态代码检测工具,可以及时发现代码缺陷及潜在的安全漏洞,利于开发人员第一时间修正安全问题,提高软件自身安全性。

参读链接:

securityaffairs.co/wordpress/1…

thehackernews.com/2021/11/ale…

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/122872.html

相关文章

  • Nagios披露11个安全漏洞 严重可致黑客接管IT基础设施

    摘要:网络管理系统需要广泛的信任和对网络组件的访问,以便正确监控网络行为和性能是否出现故障和效率低下,称。今年月早些时候,披露了网络监控应用程序中的个安全漏洞,这些漏洞可能被攻击者滥用,在没有任何运营商干预的情况下劫持基础设施。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px...

    pkwenda 评论0 收藏0
  • Linux内核TIPC模块披露严重RCE漏洞 或将影响使用者整个系统

    摘要:到目前为止,没有证据表明该漏洞已在现实世界的攻击中被滥用,据月日的可靠披露,该问题已经在年月日发布的版本中得到了解决。函数用于解析消息,以接收来自集群中其他节点的密钥,以便解密来自它们的任何进一步消息,内核维护人员在上个月发布的补丁中说。 到目前为止,没有证据表明该漏洞已在现实世界的攻击中被滥用,据10月19日的可靠披露,该问题已经在2021年10月31日发布的Linux Kernel...

    SolomonXie 评论0 收藏0
  • Zoho 警告0 day身份验证绕过漏洞被积极利用

    摘要:表示,已在野外漏洞利用中检测到。在一份独立报告中,警告说,这是一个重点问题,它注意到这个漏洞被利用的迹象。该公司表示此漏洞允许攻击者通过发送特制请求,通过端点获得对产品的未经授权访问。这将允许攻击者进行后续攻击从而导致。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:1...

    YPHP 评论0 收藏0
  • 在PHP应用程序开发中不正当使用mail()函数引发血案

    摘要:在我们向厂商提交漏洞,发布了相关的漏洞分析文章后,由于内联函数导致的类似安全问题在其他的应用程序中陆续曝出。浅析的函数自带了一个内联函数用于在应用程序中发送电子邮件。 前言 在我们 挖掘PHP应用程序漏洞 的过程中,我们向著名的Webmail服务提供商 Roundcube 提交了一个远程命令执行漏洞( CVE-2016-9920 )。该漏洞允许攻击者通过利用Roundcube接口发送一...

    Galence 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<