近年来,随着开源技术的飞速发展,各行各业开始选择拥抱开源,为产业发展升级带来了新的活力。但不可否认的是,开源技术的安全性仍然是一个难以解决的问题,甚至已经开始影响到开源生态的健康发展。开源技术作为一种开放形式,更侧重于技术的应用,而忽略了技术本身是否安全,因此在bug修复上并不积极。根据Rapid7发布的一份报告,半年多前披露的一个高危漏洞至今仍未被一半以上的GitLab服务器修复。犯罪分子可以利用这个已知的漏洞发起网络攻击。下面简单介绍一下该漏洞的基本情况。2021年4月14日,安全研究人员发现了GitLab服务器远程命令执行漏洞,编号为CVE-2021-22205,CVSSv3评分为10.0。该漏洞无需身份验证即可被利用,并且影响社区版(CE)和企业版(EE)。4月15日,GitLab正式发布安全更新修复此GitLab命令执行漏洞(CVE-2021-22205)。由于GitLab中的ExifTool没有正确处理传入的图片文件的扩展名,攻击者上传特制的恶意图片可以在目标服务器上执行任意命令,访问存储库,甚至删除、修改和窃取源代码。该漏洞之所以被利用,是因为很多GitLab服务器长期没有修复该漏洞,给了不法分子可乘之机。2021年6月,威胁组织开始利用此漏洞。他们在GitLab服务器中创建了新帐户并授予了管理员权限。在此过程中,攻击者不需要进行身份验证或使用CSRF令牌,甚至不需要有效的HTTP端点即可利用该漏洞。为了进一步确定漏洞的潜在影响范围,国际知名网络安全公司Rapid7开始调查尚未修补该漏洞的GitLab服务器数量。结果令人吃惊。数据显示,截至2021年11月,受调查的6万台GitLab服务器中,超过50%的服务器未修复漏洞;29%不确定是否存在漏洞,因为无法提取这些服务器的版本字符串。这意味着只有大约20%的GitLab服务器确定修复了漏洞。这只是修复了这个漏洞,那么还有多少其他高危漏洞被修复了呢?在报告中,安全研究人员建议用户将GitLab社区版(CE)和企业版(EE)升级到13.10.3、13.9.6和13.8.8以进行保护。参考来源:https://www.bleepingcomputer.com/news/security/over-30-000-gitlab-servers-still-unpatched-against-critical-bug/
