CDR.cz - Vybráno z IT

GitLab uživatelé v ohrožení: Jak se bránit proti zákeřné zranitelnosti serverů

Zdroj: Shutterstock

GitLab je jednou z nejpopulárnějších platforem pro správu a spolupráci na softwarových projektech. Mnoho vývojářů, firem a organizací jej používá k hostování, sdílení a revizi svého kódu. Nicméně, někteří uživatelé byli nedávno vyzváni k instalaci nouzové bezpečnostní opravy, která opravuje závažnou zranitelnost, a ta by mohla umožnit útočníkům spustit libovolný kód na jejich serverech.

Zranitelnost, označená jako CVE-2021-22205, byla objevena bezpečnostním výzkumníkem Williamem Bowlingem. Jedná se o chybu v knihovně ImageMagick, kterou GitLab používá ke zpracování obrázků. ImageMagick je nástroj pro manipulaci s obrázky, který podporuje mnoho formátů a operací. Bohužel, také obsahuje mnoho chyb, které mohou být zneužity ke spuštění libovolného kódu na serveru.

Například Bowling zjistil, že GitLab nekontroluje dostatečně vstupní obrázky před jejich předáním do ImageMagick. To znamená, že útočník může snadno nahrát škodlivý obrázek na GitLab server a donutit ho spustit libovolný kód. Tento kód by pak mohl být použit k odcizení citlivých dat, instalaci malwaru, nebo provedení dalších škodlivých akcí.

Zdroj: Shutterstock

GitLab byl o tomto problému informován 14. dubna 2021 a rychle vydal opravu 20. dubna 2021. Oprava spočívá v tom, že GitLab používá bezpečnější knihovnu MiniMagick místo ImageMagick. MiniMagick je užší rozhraní pro ImageMagick, které výrazně omezuje možnosti útočníka.

Zároveň doporučuje všem svým uživatelům, aby okamžitě aktualizovali své verze GitLab na nejnovější dostupné. Aktualizace jsou k dispozici pro všechny verze od 11.11 do 13.10. Uživatelé by také měli provést audit svých serverů a zkontrolovat, zda nejsou na seznamu těch napadených.

Jedná se o vážnou chybu a může ohrozit bezpečnost a soukromí milionů uživatelů GitLab. Je důležité, aby uživatelé co nejdříve nainstalovali nouzovou bezpečnostní opravu a zajistili si ochranu svých dat a serverů.

Zdroje: 

Diskuse ke článku GitLab uživatelé v ohrožení: Jak se bránit proti zákeřné zranitelnosti serverů

Neděle, 24 Září 2023 - 10:32 | Driscoll | Hezká provokace, ale na mě tyhle psychologické...
Neděle, 24 Září 2023 - 10:11 | Hugo Hugo | Vážený pane Driscolle, jestliže je zdrojový...
Sobota, 23 Září 2023 - 17:12 | Driscoll | Kdybych byl vámi, tak bych šel zachraňovat ten...
Sobota, 23 Září 2023 - 01:57 | Sob | A rozumime si v tom, ze zatimco linkovany clanek...
Pátek, 22 Září 2023 - 22:53 | Driscoll | tady máš taky jedno mínusko :D
Pátek, 22 Září 2023 - 18:57 | Sob | Kolega chtel pravdepodobne naznacit, ze se vam...
Pátek, 22 Září 2023 - 13:17 | Driscoll | To je otázka? :D Jestli jo, tak 1.dubna není teď...
Pátek, 22 Září 2023 - 11:47 | Rudi Iteceder | Divam se do kalendare, ale nevidim, ze by bylo 1...

Zobrazit diskusi