資訊專欄INFORMATION COLUMN
摘要:發布的分析寫道。盡管補丁已經公開發布了個多月,但在個面向互聯網的安裝中的安裝已經針對這個問題打了完整的補丁。的安裝可能存在或不存在漏洞。此外,理想情況下,不應該是面向的服務。
盡管該漏洞最初被認為是經過身份驗證的RCE 案例并分配了9.9的CVSS評分,但由于未經身份驗證的威脅行為者也可能觸發該漏洞,因此嚴重性評級在2021年9月21日修訂為10.0。
該漏洞存在于ExifTool中,ExifTool是一個用于從圖像中刪除元數據的開源工具,它無法解析嵌入在上傳圖像中的某些元數據,導致如下所述的代碼執行。HN Security發布的分析寫道。
盡管補丁已經公開發布了6個多月,但在60,000個面向互聯網的GitLab安裝中:
21%的安裝已經針對這個問題打了完整的補丁。
50%的安裝沒有針對這個問題打補丁。
29%的安裝可能存在或不存在漏洞。
建議GitLab用戶立即更新安裝。
此外,理想情況下,GitLab不應該是面向Internet的服務。如果需要從Internet訪問GitLab,建議將其置于VPN之后。
GitLab作為一個開源分布式版本控制系統,可以用來管理項目源代碼、版本控制、代碼復用與查找。從項目計劃和源代碼管理到CI/CD和監控,GitLab可以在整個DevOps生命周期中發揮作用。隨著DevsecOps概念的提出和發展,安全問題已貫穿整個開發周期當中。GitLab中的安全漏洞問題不但影響產品本身的安全性,而且在開發中很可能為應用程序帶來安全問題。
網絡安全事件層出不窮,美國國家標準與技術局(NIST)、國家漏洞數據庫(NVD)數據顯示:90%以上的網絡安全問題是由軟件自身的安全漏洞被利用導致的!針對軟件中的安全漏洞,在開發期間通過安全可信的靜態代碼檢測工具,可以及時發現代碼缺陷及潛在的安全漏洞,利于開發人員第一時間修正安全問題,提高軟件自身安全性。
參讀鏈接:
securityaffairs.co/wordpress/1…
thehackernews.com/2021/11/ale…
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/122872.html
摘要:網絡管理系統需要廣泛的信任和對網絡組件的訪問,以便正確監控網絡行為和性能是否出現故障和效率低下,稱。今年月早些時候,披露了網絡監控應用程序中的個安全漏洞,這些漏洞可能被攻擊者濫用,在沒有任何運營商干預的情況下劫持基礎設施。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px...
摘要:到目前為止,沒有證據表明該漏洞已在現實世界的攻擊中被濫用,據月日的可靠披露,該問題已經在年月日發布的版本中得到了解決。函數用于解析消息,以接收來自集群中其他節點的密鑰,以便解密來自它們的任何進一步消息,內核維護人員在上個月發布的補丁中說。 到目前為止,沒有證據表明該漏洞已在現實世界的攻擊中被濫用,據10月19日的可靠披露,該問題已經在2021年10月31日發布的Linux Kernel...
摘要:表示,已在野外漏洞利用中檢測到。在一份獨立報告中,警告說,這是一個重點問題,它注意到這個漏洞被利用的跡象。該公司表示此漏洞允許攻擊者通過發送特制請求,通過端點獲得對產品的未經授權訪問。這將允許攻擊者進行后續攻擊從而導致。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:1...
摘要:在我們向廠商提交漏洞,發布了相關的漏洞分析文章后,由于內聯函數導致的類似安全問題在其他的應用程序中陸續曝出。淺析的函數自帶了一個內聯函數用于在應用程序中發送電子郵件。 前言 在我們 挖掘PHP應用程序漏洞 的過程中,我們向著名的Webmail服務提供商 Roundcube 提交了一個遠程命令執行漏洞( CVE-2016-9920 )。該漏洞允許攻擊者通過利用Roundcube接口發送一...
閱讀 2690·2021-11-08 13:16
閱讀 2366·2021-10-18 13:30
閱讀 2236·2021-09-27 13:35
閱讀 1992·2019-08-30 15:55
閱讀 2441·2019-08-30 13:22
閱讀 575·2019-08-30 11:24
閱讀 2073·2019-08-29 12:33
閱讀 1812·2019-08-26 12:10
