網路上還有3萬臺GitLab伺服器尚未修補4月公開的重大漏洞

GitLab在今年4月修補了一個允許遠端命令的重大安全漏洞CVE-2021-22205，不過，資安業者Rapid7近日發現，在網路上接近6萬臺GitLab伺服器上，還有半數尚未修補。

CVE-2021-22205是因系統無法正確驗證提交給文件解析器的圖像所造成，而讓駭客得以執行遠端命令，當時GitLab把該漏洞列為CVSSv3 9.9等級的重大漏洞，因而進行緊急修補，但於今年9月再提高該漏洞的風險等級至CVSSv3 10.0。

資安業者則說明，該漏洞存在於GitLab所採用的ExifTool開源工具上，該工具負責移除圖片的元資料，但因無法解析嵌入於上傳圖片的特定元資料，而導致程式執行。這意謂著駭客只要上傳含有惡意命令的圖片，就能開採漏洞並展開攻擊。

CVE-2021-22205漏洞同時出現在GitLab Community Edition（CE）與GitLab Enterprise Edition（EE）版本中，且影響自11.9以來的所有版本，一直到13.10.3、13.9.6與13.8.8才修補。

Rapid7指出，今年6月就傳出針對該漏洞的攻擊行動，而且網路上還有許多公開的開採程式，相信隨著該漏洞的詳細資訊曝光，將會遭到愈來愈多的駭客鎖定。

然而，根據Rapid7在10月31日的搜尋，公開網路上約有接近6萬臺的GitLab伺服器，當中有29%不確定是否受到該漏洞的影響，有21%安裝的是修補後的版本，但有高達50%安裝了尚未修補的版本。

Rapid7除了督促GitLab用戶馬上修補該漏洞之外，也建議組織不要將GitLab伺服器置放於公開網路上，若非得如此，應考慮以VPN加以保護。