奇客 GitLab 服务器被利用发动 DDoS 攻击

GitLab 的自托管服务器漏洞被利用发动 DDoS 攻击，攻击流量一度超过 1 Tbps。Google 安全工程师发现了这次 DDoS 攻击，攻击者利用了编号为  CVE-2021-22205 的漏洞去控制服务器，GitLab 已在今年 4 月将其修复，但不是所有自托管服务器打上了补丁。漏洞位于 ExifTool 库内，该软件库被用于移除上传到 Web 服务器中的图像元数据。GitLab 在社区版 GitLab Community Edition (CE) 和企业版 Enterprise Edition (EE)中使用了 ExifTool。有大约 6 万 GitLab 自托管服务器联网，其中一半也就是大约 3 万没有打补丁。利用漏洞的 POC 在今年 6 月公布，而攻击也是始于 6 月。