solidot新版网站常见问题,请点击这里查看。

GitLab 服务器被利用发动 DDoS 攻击

安全
WinterIsComing (31822)发表于 2021年11月05日 13时19分 星期五
来自神秘博士:闪光的人
GitLab 的自托管服务器漏洞被利用发动 DDoS 攻击,攻击流量一度超过 1 Tbps。Google 安全工程师发现了这次 DDoS 攻击,攻击者利用了编号为  CVE-2021-22205 的漏洞去控制服务器,GitLab 已在今年 4 月将其修复,但不是所有自托管服务器打上了补丁。漏洞位于 ExifTool 库内,该软件库被用于移除上传到 Web 服务器中的图像元数据。GitLab 在社区版 GitLab Community Edition (CE) 和企业版 Enterprise Edition (EE)中使用了 ExifTool。有大约 6 万 GitLab 自托管服务器联网,其中一半也就是大约 3 万没有打补丁。利用漏洞的 POC 在今年 6 月公布,而攻击也是始于 6 月。