image

Zeer kritiek GitLab-lek actief misbruikt: zeker 30.000 installaties kwetsbaar

maandag 1 november 2021, 15:33 door Redactie, 11 reacties

Aanvallers maken op dit moment actief misbruik van een zeer kritieke kwetsbaarheid in GitLab waardoor zeker 30.000 installaties risico lopen, zo stelt securitybedrijf Rapid7. GitLab is een online DevOps-tool waarmee ontwikkelaars samen software kunnen ontwikkelen.

In april van dit jaar maakte GitLab een beveiligingsupdate beschikbaar voor een zeer kritieke kwetsbaarheid in de GitLab Community Edition (CE) en Enterprise Edition (EE), aangeduid als CVE-2021-22205. De applicatie bleek geüploade afbeeldingen niet goed te controleren. Door het uploaden van een speciaal geprepareerd DjVu-bestand kan een aanvaller willekeurige code als de git-gebruiker uitvoeren. Zo is het mogelijk om een shell op de server te krijgen.

In eerste instantie werd de impact van de kwetsbaarheid op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,9 beoordeeld. Op 21 september wijzigde GitLab dit naar een 10. De reden voor de aanpassing is dat het beveiligingslek ook door een ongeauthenticeerde aanvaller is te misbruiken, in plaats van alleen een geauthenticeerde aanvaller zoals eerst werd gedacht.

Er zijn verschillende exploits voor de kwetsbaarheid op internet verschenen. Hoewel er sinds april beveiligingsupdates beschikbaar zijn, hebben veel beheerders die nog niet geïnstalleerd. Rapid7 detecteerde 60.000 GitLab-installaties die vanaf het internet toegankelijk zijn. Daarvan zijn er 12.600 gepatcht gepatcht, maar draaien 30.000 installaties nog altijd een kwetsbare versie. Van 17.400 installaties kon de versie niet worden vastgesteld. Het aantal kwetsbare installaties ligt daardoor mogelijk boven de dertigduizend.

Naar verluidt zou er sinds juni of juli misbruik van het lek zijn gemaakt. Rapid7 verwacht dat misbruik zal toenemen zodra details bekend worden om ongeauthenticeerde aanvallen te kunnen uitvoeren. Beheerders worden dan ook opgeroepen om de update te installeren.

Reacties (11)
01-11-2021, 16:54 door [Account Verwijderd] - Bijgewerkt: 01-11-2021, 16:54
SNODEJU! Dit is wel ernstig! En dit net nu ik GitLab i.p.v. GitHub aan het overwegen was! Jeetjepotverdorienogantoe!
01-11-2021, 17:53 door Anoniem
Door Toje Fos: SNODEJU! Dit is wel ernstig! En dit net nu ik GitLab i.p.v. GitHub aan het overwegen was! Jeetjepotverdorienogantoe!

Zover ik lees is dit alleen voor de self-hosted versies van Gitlab. Dus niet de cloud versie omdat daar de bug al gefixt is.
01-11-2021, 20:46 door Anoniem
Door Anoniem:
Door Toje Fos: SNODEJU! Dit is wel ernstig! En dit net nu ik GitLab i.p.v. GitHub aan het overwegen was! Jeetjepotverdorienogantoe!

Zover ik lees is dit alleen voor de self-hosted versies van Gitlab. Dus niet de cloud versie omdat daar de bug al gefixt is.

Alsof er nooit een bug in GitHub aan het licht komt!
01-11-2021, 20:59 door Anoniem
Door Toje Fos: SNODEJU! Dit is wel ernstig! En dit net nu ik GitLab i.p.v. GitHub aan het overwegen was! Jeetjepotverdorienogantoe!

Dan kan je voorlopig beter bij Microsoft blijven. :-P
01-11-2021, 22:30 door Anoniem
Door Anoniem:
Door Toje Fos: SNODEJU! Dit is wel ernstig! En dit net nu ik GitLab i.p.v. GitHub aan het overwegen was! Jeetjepotverdorienogantoe!

Zover ik lees is dit alleen voor de self-hosted versies van Gitlab. Dus niet de cloud versie omdat daar de bug al gefixt is.
Laten we ook niet vergeten dat het een security advisory is van april dit jaar. Dus ernstig kun je wat mij betreft terugbrengen naar niks aan de hand. (als je je werk hebt gedaan)

Kortom weer het standaard riedeltje van ongeveer 30000 incompetente beheerders, bedrijven.
Dat ze lekker zich eraan mogen branden.
02-11-2021, 06:08 door Anoniem
GItlab is bij uitstek een product waar je zonder issues automatisch updates kan installeren, dus dit is echt alleen een risico voor 'Install and Forget' scenario's. Iedereen met een beetje beheer heeft dit al drie keer gepatched bij wijze van spreken.
02-11-2021, 06:09 door Malware
GItlab is bij uitstek een product waar je zonder issues automatisch updates kan installeren, dus dit is echt alleen een risico voor 'Install and Forget' scenario's. Iedereen met een beetje beheer heeft dit al drie keer gepatched bij wijze van spreken.
02-11-2021, 07:07 door Anoniem
Door Toje Fos: SNODEJU! Dit is wel ernstig! En dit net nu ik GitLab i.p.v. GitHub aan het overwegen was! Jeetjepotverdorienogantoe!

Nu doe je net alsof er met GitHub nooit iets is of zal zijn... Het zou duidelijk moeten zijn dat dit niet het geval is.
02-11-2021, 09:44 door [Account Verwijderd] - Bijgewerkt: 02-11-2021, 09:46
Door Anoniem: GItlab is bij uitstek een product waar je zonder issues automatisch updates kan installeren, dus dit is echt alleen een risico voor 'Install and Forget' scenario's. Iedereen met een beetje beheer heeft dit al drie keer gepatched bij wijze van spreken.

Oh, dat valt dus erg mee. Dan kan ik gewoon overstappen van GitHub naar GitLab.

Door Anoniem:
Door Toje Fos: SNODEJU! Dit is wel ernstig! En dit net nu ik GitLab i.p.v. GitHub aan het overwegen was! Jeetjepotverdorienogantoe!

Nu doe je net alsof er met GitHub nooit iets is of zal zijn... Het zou duidelijk moeten zijn dat dit niet het geval is.

Dat zeg ik toch niet! Ik ben zelf fervent GitHub gebruiker! Maar sinds het door Microsoft is overgenomen zijn er stilaan wel dingen aan het veranderen die zorgwekkend te noemen zijn. Vandaar dat ik overstappen naar GitLab overweeg, zoals velen met mij. En het is nog Nederlands ook! (GitLab)
04-11-2021, 00:11 door Anoniem
Github is alleen cloud. De cloudversie van gitlab was al lang gepatcht. Ik gebruik de onpremise versie na volle tevredenheid. Daarnaast is bitbucket misschien ook een optie ivm integratie met een kaban board?
04-11-2021, 15:10 door [Account Verwijderd]
Door Toje Fos:
Door Anoniem: GItlab is bij uitstek een product waar je zonder issues automatisch updates kan installeren, dus dit is echt alleen een risico voor 'Install and Forget' scenario's. Iedereen met een beetje beheer heeft dit al drie keer gepatched bij wijze van spreken.

Oh, dat valt dus erg mee. Dan kan ik gewoon overstappen van GitHub naar GitLab.

Door Anoniem:
Door Toje Fos: SNODEJU! Dit is wel ernstig! En dit net nu ik GitLab i.p.v. GitHub aan het overwegen was! Jeetjepotverdorienogantoe!

Nu doe je net alsof er met GitHub nooit iets is of zal zijn... Het zou duidelijk moeten zijn dat dit niet het geval is.

Dat zeg ik toch niet! Ik ben zelf fervent GitHub gebruiker! Maar sinds het door Microsoft is overgenomen zijn er stilaan wel dingen aan het veranderen die zorgwekkend te noemen zijn. Vandaar dat ik overstappen naar GitLab overweeg, zoals velen met mij. En het is nog Nederlands ook! (GitLab)

Voor de nieuwsgierige lezer: http://techrights.org/2021/11/03/github-ceo-resigns/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.