Hlavní navigace

GitLab je zneužíván k DDoS útokům přesahujícím 1 Tbps, záplatujte

Sdílet

Petr Krčmář 5. 11. 2021
Gitlab CI Autor: GitLab Inc.

Mizerové zneužívají bezpečnostní chybu v instalacích služby GitLab, které pak umožňují spustit ohromný DDoS útok přesahující ve špičkách až 1 Tbps. Chyba dostala označení CVE-2021–22205 a spočívá ve špatně ošetřeném vstupu knihovny ExifTool při vkládání obrázků. Výsledkem zneužití může být spuštění cizího kódu. Chyba má velmi vysoké hodnocení rizika a týká se všech verzí od 11.9.

Chyba byla objevena začátkem letošního roku a už v dubnu byla opravena ve verzích 13.10.3, 13.9.6 a 13.8.8. Podle současných DDoS útoků to ale vypadá, že řada instalací stále ještě nebyla aktualizována. Podle analýzy společnosti Rapid7 je na internetu k vidění asi 60 000 instalací GitLabu a přibližně polovina z nich není proti zneužití zmíněné chyby chráněná.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.