Gitlab遠(yuǎn)程命令執(zhí)行漏洞在野利用預(yù)警（CVE-2021-22205）

2021-11-01

一、概要

近日，華為云關(guān)注到Gitlab官方在2021年4月14日發(fā)布的安全更新公告中披露的Gitlab遠(yuǎn)程命令執(zhí)行漏洞（CVE-2021-22205）在互聯(lián)網(wǎng)上已出現(xiàn)在野攻擊利用。由于Gitlab沒有正確驗(yàn)證傳遞給解析器的圖像文件，攻擊者利用漏洞上傳專門制作的圖像文件可導(dǎo)致執(zhí)行遠(yuǎn)程代碼執(zhí)行，目前漏洞POC已公開，風(fēng)險(xiǎn)較高。

GitLab 是一款基于 Git 的完全集成的軟件開發(fā)平臺(tái)。華為云提醒使用GitLab的用戶盡快安排自檢并做好安全加固。

參考鏈接：https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

11.9 <=  GitLab（CE/EE）< 13.8.8

13.9 <=  GitLab（CE/EE）< 13.9.6

13.10 <= GitLab（CE/EE）< 13.10.3

安全版本：

GitLab（CE/EE） 13.8.8

GitLab（CE/EE） 13.9.6

GitLab（CE/EE） 13.10.3

四、漏洞處置

目前，官方已在新版本修復(fù)了該漏洞，請(qǐng)受影響的用戶盡快升級(jí)到安全版本：

下載地址：https://about.gitlab.com/update/

華為云WAF具備對(duì)該漏洞防御能力。華為云WAF用戶將“Web基礎(chǔ)防護(hù)”狀態(tài)設(shè)置為“攔截”模式，具體方法請(qǐng)參見配置Web基礎(chǔ)防護(hù)規(guī)則。

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。