Zranitelnost, označená jako CVE-2021-22205, byla objevena bezpečnostním výzkumníkem Williamem Bowlingem. Jedná se o chybu v knihovně ImageMagick, kterou GitLab používá ke zpracování obrázků. ImageMagick je nástroj pro manipulaci s obrázky, který podporuje mnoho formátů a operací. Bohužel, také obsahuje mnoho chyb, které mohou být zneužity ke spuštění libovolného kódu na serveru.

Například Bowling zjistil, že GitLab nekontroluje dostatečně vstupní obrázky před jejich předáním do ImageMagick. To znamená, že útočník může snadno nahrát škodlivý obrázek na GitLab server a donutit ho spustit libovolný kód. Tento kód by pak mohl být použit k odcizení citlivých dat, instalaci malwaru, nebo provedení dalších škodlivých akcí.

Zdroj: Shutterstock

GitLab byl o tomto problému informován 14. dubna 2021 a rychle vydal opravu 20. dubna 2021. Oprava spočívá v tom, že GitLab používá bezpečnější knihovnu MiniMagick místo ImageMagick. MiniMagick je užší rozhraní pro ImageMagick, které výrazně omezuje možnosti útočníka.

Zároveň doporučuje všem svým uživatelům, aby okamžitě aktualizovali své verze GitLab na nejnovější dostupné. Aktualizace jsou k dispozici pro všechny verze od 11.11 do 13.10. Uživatelé by také měli provést audit svých serverů a zkontrolovat, zda nejsou na seznamu těch napadených.

Jedná se o vážnou chybu a může ohrozit bezpečnost a soukromí milionů uživatelů GitLab. Je důležité, aby uživatelé co nejdříve nainstalovali nouzovou bezpečnostní opravu a zajistili si ochranu svých dat a serverů.