Gitlab-Instanzen für 1 TBit/s-DDoS missbraucht
Bild: Gitlab
Eine Lücke im Gitlab-Server wird laut Google für massive DDoS-Angriffe missbraucht. Der Patch für die Lücke ist ein halbes Jahr alt.
Angreifer missbrauchen offenbar zahlreiche selbst gehostete Instanzen der offenen Code-Verwaltung Gitlab, um daraus ein Botnetz zu erstellen, mit dem wiederum riesige DDoS-Angriffe gestartet werden. Davor warnt der für die Abwehr von DDoS-Angriffen bei Google zuständige Security Reliability Engineer, Damian Menscher, auf Twitter. Die Gitlab-Instanzen werden demnach für DDoS-Angriffe mit 1 TBit/s Netzwerkverkehr missbraucht. Zuerst hatte The Record berichtet.
Grundlage für die Möglichkeit der DDoS-Angriffe ist offenbar eine Sicherheitslücke in Gitlab, die es den Angreifern ermöglicht, vollständigen Zugriff über Gitlab zu erlangen. Die Lücke (CVE-2021-22205) selbst hat das Entwicklungsteam von Gitlab bereits Mitte April dieses Jahres bekannt gegeben und einen entsprechenden Patch bereitgestellt. Betroffenen seien demnach alle Versionen beginnend mit Version 11.9.
Mehr dazu findest Du auf golem.de
Kurze URL:
Das könnte Dich auch interessieren:
Die Schwachstelle ermöglicht es Angreifern, beliebige Nutzerpasswörter über eine eigene E-Mail-Adresse zurückzusetzen. Tausende von Gitlab-Instanzen sind gefährdet.
Gitlab hat Patches für mehrere Sicherheitslücken bereitgestellt. Eine davon erreicht mit einem CVSS von 10 den maximal möglichen Schweregrad.
Ähnliche News:
Gitlab soll Löschung inaktiver Projekte planen
Antirassismus: Python- und Gitlab-Entwickler streichen "Master"-Begriff
Gitlab testet Mitarbeiter mit Phishing-Angriff – ein Fünftel fällt herein
Gitlab wirbt für Umzug von Github weg
Antirassismus: Python- und Gitlab-Entwickler streichen "Master"-Begriff
Gitlab testet Mitarbeiter mit Phishing-Angriff – ein Fünftel fällt herein
Gitlab wirbt für Umzug von Github weg
Weitere News:
Warum Menschen Schlupflöcher suchen
Kriminelle wollten Cybertrucks nach Russland schmuggeln
EA will Werbung in Videospiele integrieren
Größter CO2-Sauger der Welt geht in Betrieb
Hunderte Umweltaktivisten protestieren nahe Berlin gegen Tesla
Finanzministerium warnt wieder vor betrügerischen SMS-Nachrichten
Nächster Boeing-Whistleblower berichtet über schwere Mängel
Bastler bekommen Android auf Rabbit R1 zum Laufen
Microsoft Word mit neuer Standardeinfügeoption
Apple soll kurz vor Vereinbarung mit OpenAI stehen
Kriminelle wollten Cybertrucks nach Russland schmuggeln
EA will Werbung in Videospiele integrieren
Größter CO2-Sauger der Welt geht in Betrieb
Hunderte Umweltaktivisten protestieren nahe Berlin gegen Tesla
Finanzministerium warnt wieder vor betrügerischen SMS-Nachrichten
Nächster Boeing-Whistleblower berichtet über schwere Mängel
Bastler bekommen Android auf Rabbit R1 zum Laufen
Microsoft Word mit neuer Standardeinfügeoption
Apple soll kurz vor Vereinbarung mit OpenAI stehen
Einen Kommentar schreiben
Kommentare
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
(0)
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
Kommentare:
Du hast bereits für diesen
Kommentar angestimmt...
;-)
© by Ress Design Group, 2001 - 2024