GitLab 服务器被利用发起超过 1 Tbps 的 DDoS 攻击
外媒报道了 GitLab 服务器被利用发动 DDoS 攻击的安全漏洞。 报道指出,攻击者利用 GitLab 自托管服务器中的安全漏洞来构建僵尸网络,并发起规模巨大的 DDoS 攻击,攻击流量甚至一度超过 1 Tbps。负责谷歌 DDoS 防御的谷歌云安全可靠性工程师Damian Menscher 发现了此次 DDoS 攻击,攻击者利用了编号为CVE-2021-22205的漏洞。GitLab 已在4 月对漏洞进行了修复,但不是所有自托管的服务器都安装了修复补丁。 据介绍,此漏洞由 William Bowling 发现,并通过漏洞赏金计划提交给了 GitLab。漏洞位于ExifTool组件,这是一个用于从上传到 Web 服务器的图像中删除元数据的库。 GitLab 社区版 (CE) 和企业版 (EE) 均使用了ExifTool,在向 HackerOne 提交的一份报告中,Bowling 称其发现了一种滥用 ExifTool 的方法,可被用于控制 DjVu 格式文档的上传,进而获得对整个底层 GitLab Web 服务器的控制。 意大利安全公司 HN Security 称,利用此漏洞的攻击最...
