代码仓库漏洞修复及思考-阿里云开发者社区

开发者社区> 无敌小将> 正文

代码仓库漏洞修复及思考

简介: #我修复的影响最深的一个Bug
+关注继续查看

近日,云安全中心帮我们拦截了一个风险。我们立即进行了修复,这是最近我修复的印象最深的一个Bug。该漏洞与2021年10月28日,阿里云应急响应中心监测到近日互联网上披露 CVE-2021-22205 Gitlab exiftool 远程命令执行漏洞在野利用事件。

image.png

 

GitLab 一款基于Git 的完全集成的软件开发平台。 GitLab 占据了三分之二的自托管(self-hosted) Git 市场。我们公司也是其中一员。在中国互联网企业中占用率是非常高的。在信通院发布的《中国 DevOps 现状调查报告(2021)》中指出:“调查显示,有 53.45% 受访者所在企业通过 GitLab 进行代码管理。此外,还有 27.67%、24.91%和 23.75%的企业使用代码管理工具 Gerrit、Github 和 SVN。” GitLab 以 53.45% 的占比稳居第一。2021年10月,阿里云应急响应中心监测到互联网上披露 CVE-2021-22205 Gitlab exiftool 远程命令执行漏洞在野利用事件及其新型利用方式,由于 Gitlab 某些端点路径无需授权,攻击者可在无需认证的情况下完成图片上传,从而执行任意命令。

image.png

自托管市场


image.png

中国市场代码管理份额统计

 

收到安全提醒引起我们的重视。指定了升级预案第一时间处理该问题。源代码安全重要性对于企业来讲不言而喻,是软件开发企业健康发展的核心要务、不论是早期的产品研发,还是后期产品的运营、更新迭代。长远的视角看,源代码安全对于开发企业就是其发展生命的保障。保护源代码安全可以防止企业代码外泄有利于保护企业的合法权益及保障公司的研究成果。防止机密数据外泄是企业发展的基本要求。

 

 

影响版本

参考:https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22205.json

11.9 <= GitLab(CE/EE)< 13.8.8

13.9 <= GitLab(CE/EE)< 13.9.6

13.10 <= GitLab(CE/EE)< 13.10.3

image.png

 

安全版本

GitLab(CE/EE) 13.8.8

GitLab(CE/EE) 13.9.6

GitLab(CE/EE) 13.10.3

上传图像文件时,GitLab Workhorse 会将扩展名为jpg|jpeg|tiff 的任何文件传递给ExifTool,以删除任何未列入白名单的标签。一个问题是 ExifTool 将忽略文件扩展名并尝试根据内容确定文件是什么,允许通过重命名上传的文件来命中任何支持的解析器,而不仅仅是 JPEG 和 TIFF。发现该问题,我们第一时间进行复现:

创建一个新片段,在描述字段中,点击“附加文件”,任何能够通过 GitLab Workhorse 上传图像的人都可以通过特制的文件实现 RCE。

image.png

 

虽然云上的主机可以利用云安全组功能设置 Gitlab 仅对可信地址开放由于该漏洞评分高达CVSS 9.9 ,因我们使用的版本为12.10.1,尽快升级Gitlab至最新版本应该是最好的选择我们立即对代码仓库的升级操作,由于升级不能跨越大版本号,因此只能升级到当前大版本号到最高版本,方可升级到下一个大版本号。版本路径如下12.10.1--->12.10.14-------> 13.0.14 ---> 13.1.11 ---> 13.8.8 ---> 13.12.10--->13.12.12。

下图为官方升级路径:

image.png

示例代码:

gitlab-ctl stop unicorn

gitlab-ctl stop sidekiq

gitlab-ctl stop nginx

wget https://mirrors.tuna.tsinghua.edu.cn/gitlab-ce/yum/el7/gitlab-ce-12.10.14-ce.0.el7.x86_64.rpm --no-check-certificate

rpm -Uvh gitlab-ce-12.10.14-ce.0.el7.x86_64.rpm

sudo gitlab-ctl restart

reboot

 

在我们企业中,提供代码托管、智能评审、质量检测等功能,提供删库保护等高级功能是我们急需的。云效作为云原生时代一站式DevOps平台,其中代码管理模块能解决我们企业痛点,值得推荐、也是我们企业上云的重要一环。以便我们实现安全、稳定、高效的研发生产。

在这里我也列举列举一些。更多请参考相关文档。

 

全面的代码安全保障

定时备份与代码加密精细化多级权限管控IP白名单访问控制风险问题事前监测、事中通知、事后审计源码安全/代码扫描服务

 

image.png

image.png

定时备份与代码加密

 

 

image.png

image.png

image.png

源码安全/代码扫描服务

 

企业级研发协作管理

一键串联需求/任务/缺陷无缝衔接CI/CD研发效能数据洞察

image.png

创建分支推荐和需求关联,便于代码评审

 

 

image.png

流水线

 

 

高效的代码评审

灵活的配置能力,支持轻松定制评审规范内置代码检测服务+持续集成流水线,大幅降低人工审查成本冲突智能检测+WebIDE

image.png

Pull Request请求

 

image.png

代码评审

 

这次的Gitlab漏洞出现和处理。除了处理日常的安全事件以外,更多引发了我对软件质量、软件托管、企业代码管理的诸多的思考。在云原生时代,我们更需要一个高可用、无需专人运维,高安全性的代码仓库。除了提供敏感信息检测、代码规约检测、编码安全检测、三方依赖漏洞检测等诸多开箱即用的功能,更需要能进行项目目协作、CI/CD无缝衔接,一站式的解决方案。并且通过平台数据可以让我们快速洞察研发效能,提升软件开发质量。打通软件开发生命周期的各个环节,提升企业的效能,快速应对市场变化。

 

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
WordPress网站漏洞利用及漏洞修复解决方案
2019年正月刚开始,WordPress最新版本存在远程代码注入获取SHELL漏洞,该网站漏洞影响的版本是wordpress5.0.0,漏洞的产生是因为image模块导致的,因为代码里可以进行获取目录权限,以及文件包含功能,导致远程代码注入成功。
1846 0
duilib 修复padding属性导致其他控件自动计算宽高度错误的bug和导致自己宽高度错误的bug
转载请说明原出处,谢谢~~:http://blog.csdn.net/zhuhongshu/article/details/42950733          BUG 一:padding导致其他控件宽度计算错误             今天在写项目的一个布局时,用到了最常用的相对布局属性padding:在一个纵向容器里,给其中的各个子元素设置了padding属性来做相对布局。
1097 0
Apache Dubbo 被曝出“高危”远程代码执行漏洞
6 月 23 日,360 网络安全响应中心(360CERT)发布《CVE-2020-1948:Apache Dubbo 远程代码执行漏洞通告》(以下简称《通告》)。《通告》称,Apache Dubbo 存在远程代码执行漏洞,受影响的版本有 Dubbo 2.5.x、Dubbo 2.6.0 - 2.6.7 和 Dubbo 2.7.0 - 2.7.6。
726 0
《码出高效:Java 开发手册》正式发布,83行代码计划启动
可爱的Java开发者们,让你们久等了! 9月22日杭州云栖大会,众所期待的新书《码出高效:Java 开发手册》正式发布,并宣布将所有图书收益捐赠于技术公益项目。 本次新书发布,邀请了来自阿里巴巴高年级同学中间件负责人林昊、阿里巴巴研究员刘湘雯、阿里巴研究员刘国华,OpenJDK社区Committer杨晓峰,全栈视障工程师蔡勇斌,电子工业出版社博文视点出版公司总经理郭立以及两位图书作者杨冠宝(孤尽)和高海慧(鸣莎)重磅大咖联合发布,并宣布将图书所有收益均捐赠于技术公益项目“83行代码计划”,第一个“83行代码计划”行动,将围绕着帮助盲人工程师,开发更多无障碍化产品,让盲人上网更便捷。
11595 0
duilib relativepos属性导致控件错误的bug修复
转载请说明出处,谢谢~~         我在仿酷狗音乐播放器的开发日志系列里,曾经提到了这个bug,文章地址为:http://blog.csdn.net/zhuhongshu/article/details/38145365。
933 0
+关注
无敌小将
网络/信息安全/网络规划设计师、CISP、ACA(全科目)/ACP(云计算/云安全/大数据)/ACE、MVP等。拥有 PRINCE2 专家级、ITIL、ISO27001等多项国际认证。 发表数篇学术文章在国内/国际期刊、书籍,拥有多项发明专利。主要研究DevSecOps、信息安全及区块链。
92
文章
2141
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载