注册    登录
创作新主题
社区所有版块导航
Python
python开源   Django   Python   DjangoApp   pycharm  
DATA
docker   Elasticsearch  
分享
问与答   闲聊   招聘   翻译   创业   分享发现   分享创造   求职   区块链   支付之战  
aigc
aigc   chatgpt  
WEB开发
linux   MongoDB   Redis   DATABASE   NGINX   其他Web框架   web工具   zookeeper   tornado   NoSql   Bootstrap   js   peewee   Git   bottle   IE   MQ   Jquery  
机器学习
机器学习算法  
Python88.com
反馈   公告   社区推广  
产品
短视频  
印度
印度  
关注
Py学习  »  Git

【安全风险通告】GitLab CE/EE远程代码执行漏洞安全风险通告

奇安信 CERT • 3 年前 • 523 次点击  

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




风险通告



近日,奇安信CERT监测到GitLab CE/EE远程代码执行漏洞(CVE-2021-22205)细节、EXP公开,并发现存在在野利用。由于GitLab 中的ExifTool没有正确验证用户上传的图像内容,攻击者可通过上传恶意图像文件,在图像元数据中插入恶意代码的方式利用该漏洞,成功利用此漏洞的攻击者可远程执行任意代码。

经奇安信CERT验证,GitLab CE/EE远程代码执行漏洞(CVE-2021-22205)无需身份验证即可远程执行任意代码。由于已发现在野利用,漏洞利用的现实威胁上升。鉴于该漏洞危害较大,目前官方已有修复版本,奇安信CERT强烈建议客户及时自检服务器并尽快更新GitLab版本。



当前漏洞状态



细节是否公开

PoC状态

EXP状态

在野利用

已公开

已公开

已发现



漏洞描述

GitLab是一个利用 Ruby on Rails 开发的开源应用程序,实现一个自托管的Git项目仓库,可通过Web界面进行访问公开的或者私人项目。

 

近日,奇安信CERT监测到GitLab CE/EE远程代码执行漏洞(CVE-2021-22205)细节、EXP公开,并发现存在在野利用。当GitLab中的ExifTool处理图像文件时,会检查文件扩展名是否为jpg、jpeg、tiff,符合条件的文件会交由ExifTool进行处理。但ExifTool会尝试通过文件内容确定文件格式,当其解析DjVu文件注释时,tok将被转换为 C 转义序列。攻击者可以在DjVu文件中插入恶意perl代码,并将其扩展名改为jpg、jpeg或tiffd以绕过GitLab中的检查,从而在ExifTool中触发漏洞,最终在GitLab CE/EE服务器上远程执行代码。

 

经奇安信CERT验证,GitLab CE/EE远程代码执行漏洞CVE-2021-22205)无需身份验证即可远程执行任意代码。由于已发现在野利用,漏洞利用的现实威胁上升。鉴于该漏洞危害较大,目前官方已有修复版本,奇安信CERT强烈建议客户及时自检服务器并尽快更新GitLab版本。

 

1CVE-2021-22205 GitLab CE/EE远程代码执行漏洞

漏洞名称

GitLab CE/EE远程代码执行漏洞

漏洞类型

远程代码执行

风险等级

高危

漏洞ID

CVE-2021-22205

公开状态

已公开

在野利用

已发现

漏洞描述

由于GitLab 的ExifTool中没有正确验证用户上传的图像内容,攻击者在无需身份验证的情况下可通过上传恶意图像文件,在图像元数据中插入恶意代码的方式利用该漏洞,最终成功利用此漏洞的攻击者可远程执行代码。

参考链接

https://gitlab.com/gitlab-org/gitlab/-/issues/327121

 

奇安信CERT已成功复现GitLab CE/EE远程代码执行漏洞(CVE-2021-22205),复现截图如下:



风险等级

奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)


影响范围

11.9 <=  GitLab(CE/EE)< 13.8.8 

13.9 <=  GitLab(CE/EE)< 13.9.6 

13.10 <= GitLab(CE/EE)< 13.10.3



处置建议

升级到安全版本

目前GitLab官方已发布修复版本,用户可将GitLab升级到:GitLab 13.8.8、GitLab 13.9.6、GitLab 13.10.3 及以上版本。

https://about.gitlab.com/update/



产品解决方案

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全面支持对GitLab 远程代码执行漏洞(CVE-2021-22205)的防护。


奇安信网神天堤防火墙产品防护方案

奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2110282000” 及以上版本并启用规则ID: 4347801进行检测防御。


奇安信网神统一服务器安全管理平台更新入侵防御规则库

奇安信网神虚拟化安全轻代理版本将于10月29日发布入侵防御规则库2021.10.29版本,支持对GitLab远程代码执行漏洞(CVE-2021-22205)的防护,届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。

奇安信网神统一服务器安全管理平台将于10月29日发布入侵防御规则库10511版本,支持对GitLab远程代码执行漏洞(CVE-2021-22205)的防护,届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:7004,建议用户尽快升级检测规则库至 2110281900以后版本并启用该检测规则。


奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.1028.13094及以上版本。规则名称:GitLab远程命令执行漏洞(CVE-2021-22205),规则ID:0x10020DFF。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。


奇安信开源卫士已支持

奇安信开源卫士20211028. 861版本已支持对GitLab远程代码执行漏洞(CVE-2021-22205)的检测。



参考资料

[1]https://gitlab.com/gitlab-org/gitlab/-/issues/327121


时间线

2021年10月28日,奇安信 CERT发布安全风险通告


点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情





奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓

Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/122104
Reply
 
523 次点击  
登录后回复
关于   移动版
Py学习 - 专注于Python技术发展的社区(原Django社区)
沪ICP备11025650号