突袭者利用漏洞发动 DDoS 突袭，3万台 GitLab 服务器仍未修补

整理 | 祝涛

第一部 | CSDN（ID：CSDNnews）

据报道，该必要漏洞由 William Bowling 注意到，并通过必要漏洞赏金计划送交给了GitLab官方。

此必要漏洞则会对ExifTool造成影响，ExifTool是一个用于将图像上传到 Web 公共服务器端、并剔除元数据的奎。GitLab在社区版本（CE）和企业版本（EE）上均用于了ExifTool，且该公司能够将其公共服务的开源/商业版本本安装在自己的公共服务器端上。这样一来，企业能够专注于他们想要处置专有代码的场景必要环境，而无须用于基于云端的GitLab公共服务。

然而在向HackerOne送交的一份调查报告中都，Bowling称其注意到了一种忽视ExifTool的方法，可被用于扫瞄DjVu格式的文档，进而支配整个顶层GitLab网络公共服务器端。

意大利必要该公司HN Security上周首次调查报告了这一必要漏洞被来进行的迹象，该该公司指出，攻击可追溯到今年6当月。

必要研究专家Piergiovanni Cipolloni表示，在注意到有随机命名的用户被掺入到深受感染者的GitLab公共服务器端后，他们随即已对展开了调查。这些用户很可能是由攻击者一手创设，旨在对深受害人系统实施都从。

尽管HN必要部门目前还不清楚这些攻击的目的，但谷歌的总工程师Damian Menscher表示，被恐吓的公共服务器端是某巨型丧尸网络的一部分，该丧尸网络由"数千个深受感染者的GitLab实例"组成，并且正试图策动大规模的DDoS攻击。

概述链接：

☞MSN、领英再一退出中都国，开发者：GitHub 也则会深受到影响吗？

☞ 系列产品计划3年内成为世界性第一；谷歌计划在北朝鲜开放第三方支付；Firefox 94面世|极客头条

☞微软该公司总裁：元黑洞概念应避免广告宣传，科技零售业须配合监管机构