Реклама ООО Таймвэб
Реклама ООО Таймвэб
Реклама ООО Таймвэб

Критическая уязвимость в GitLab позволяет выполнять код без аутентификации

Обсудить
В GitLab обнаружили критическую уязвимость

По данным компании Rapid7, злоумышленники активно используют RCE-уязвимость в клиенте GitLab, которая позволяет выполнять вредоносный код через систему git без авторизации.  

Эта уязвимость была устранена еще весной, 14 апреля, но до сих пор под угрозой находится по меньшей мере половина пользователей сервиса. Обнаруженная брешь в безопасности активно эксплуатируется хакерами: они создают в репозиториях новых пользователей и редактируют код, хранящийся в GitLab. Уязвимым компонентом стал ExifTool.

Данный сбой получил максимальную оценку опасности по шкале CVSS v3 – 10 баллов, поскольку эта уязвимость не требует аутентификации пользователя и дает ему полный доступ к репозиторию.

Специалисты по безопасности считают, что несмотря на выпуск исправлений со стороны администраторов сервиса, многие пользователи все равно находятся под угрозой, потому что около 30 000 из 60 000 репозиториев не используют опубликованные патчи. Эксперты Rapid7 призывает разработчиков и администраторов как можно скорее установить последнюю безопасную версию GitLab – 13.10.3, 13.9.6 и 13.8.8. Причем это касается как пользователей Enterprise Edition, так и пользователей Community Edition.

Если человек настраивает сервер, это не новость; новость – если сервер настраивает человека.
Новый подкаст от Timeweb

Комментарии

С помощью соцсетей
У меня нет аккаунта Зарегистрироваться
С помощью соцсетей
У меня уже есть аккаунт Войти
Инструкции по восстановлению пароля высланы на Ваш адрес электронной почты.
Пожалуйста, укажите email вашего аккаунта
Ваш баланс 10 ТК
1 ТК = 1 ₽
О том, как заработать и потратить Таймкарму, читайте в этой статье
Чтобы потратить Таймкарму, зарегистрируйтесь на нашем сайте