2021年10月28日應急響應中心監測到近日互聯網上披露 CVE-2021-22205 Gitlab exiftool 遠程命令執行漏洞在野利用事件。

漏洞描述

GitLab 是由GitLab Inc.開發，一款基于Git 的完全集成的軟件開發平臺。2021年4月14日 Gitlab 官方發布安全更新，披露了CVE-2021-22205 Gitlab exiftool 遠程命令執行漏洞，攻擊者通過上傳惡意圖片可觸發遠程命令執行，控制服務器。2021年10月，應急響應中心監測到互聯網上披露 CVE-2021-22205 Gitlab exiftool 遠程命令執行漏洞在野利用事件及其新型利用方式，由于 Gitlab 某些端點路徑無需授權，攻擊者可在無需認證的情況下完成圖片上傳，從而執行任意命令。應急響應中心提醒 Gitlab 用戶盡快采取安全措施阻止漏洞攻擊。

漏洞評級

CVE-2021-22205 Gitlab exiftool 遠程命令執行漏洞 嚴重

影響版本

11.9 <= GitLab（CE/EE）< 13.8.8

13.9 <= GitLab（CE/EE）< 13.9.6

13.10 <= GitLab（CE/EE）< 13.10.3

安全版本

GitLab（CE/EE） 13.8.8

GitLab（CE/EE） 13.9.6

GitLab（CE/EE） 13.10.3

安全建議

1、利用安全組功能設置 Gitlab 僅對可信地址開放

2、盡快升級Gitlab至最新版本。

相關鏈接

https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/