Bereits im April dieses Jahres gab Gitlab bekannt, dass im Web Interface eine
kritische Sicherheitslücke mit der Kennung CVE-2021-22205 klafft. Der Fehler wird verursacht, indem ein Nutzer Bilder an die in den Dienst eingebettete Version von Exiftool übergibt. Dadurch kann ein Angreifer als Git-Benutzer getarnt beliebige Befehle an einen Gitlab-Server übermitteln und diesen unter Umständen übernehmen.
Wie nun Sicherheitsforscher von
Rapid7 in einem
Blog-Beitrag erklären, würden Hacker die Lücke seit Juni oder Juli dieses Jahres aktiv ausnutzen (
via "Heise.de"). Das wäre an sich kein Problem, denn die Lücke, die ab Version 11.9 des Web Interface von Gitlab besteht, wurde in den Versionen 13.10.3, 13.9.6 und 13.8.8 gepatcht. Doch laut den Spezialisten von Rapid7 sind von den rund 60'000 Gitlab-Servern im Netz nur 21 Prozent vollständig aktualisiert. Rund 50 Prozent der Server sind nicht entsprechend gepatcht und in 29 Prozent der Fälle sind sich die Sicherheitsforscher nicht sicher. Aus diesem Grund empfehlen sie den Administratoren von Gitlab-Servern, ihre Insallationen schnellstmöglich zu aktualisieren.
(luc)