2.15.22
2.16.26
3.0.16
3.1.12
3.2.7
3.3.2
CVE-2021-22553 beschrijft een kwetsbaarheid in Gerrit, waarbij herhaaldelijk gebruik van Git-acties kan leiden tot een heap memory exhaustion. Dit komt doordat Jetty sessies creëert zonder vervaldatum, waardoor het geheugengebruik van de Gerrit-server kan escaleren. De kwetsbaarheid treft versies van Gerrit tot en met 3.3.2. Een upgrade naar versie 3.3.2 of hoger is de aanbevolen oplossing.
De impact van deze kwetsbaarheid is een potentiële denial-of-service (DoS) aanval. Een aanvaller kan door herhaaldelijk Git-commando's uit te voeren, de Gerrit-server dwingen om steeds meer geheugen te gebruiken. Uiteindelijk kan dit leiden tot een crash van de server, waardoor gebruikers geen toegang meer hebben tot de code repository. De ernst van de impact hangt af van de beschikbare resources van de server en de frequentie van Git-acties. In een omgeving met veel gebruikers en frequente code-updates is het risico op een DoS-aanval aanzienlijk.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen meldingen van actieve exploitatie in de wild, maar de potentiële impact van een DoS-aanval maakt het belangrijk om deze kwetsbaarheid snel te patchen. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de urgentie van de mitigatie onderstreept.
Organizations heavily reliant on Gerrit for code review, particularly those with large development teams or frequent Git activity, are at increased risk. Environments with limited server resources or inadequate monitoring practices are also more vulnerable. Teams using older Gerrit versions without robust session management configurations are particularly exposed.
• java / server:
ps -ef | grep gerrit | grep -v grep | awk '{print $2}' | xargs -I {} jstat -gc {} 2>&1 | grep -i 'HeapUsage' • java / server: Monitor Gerrit's memory usage using tools like JConsole or VisualVM. Look for steadily increasing heap usage without corresponding decreases. • java / server: Check Gerrit's Jetty configuration for session timeout settings. Ensure that session timeouts are properly configured to prevent unbounded session creation. • java / server: Review Gerrit logs for errors related to memory allocation or Jetty session management.
disclosure
Exploit Status
EPSS
0.09% (26% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2021-22553 is het upgraden van Gerrit naar versie 3.3.2 of hoger. Deze versie bevat de correctie die het probleem oplost. Indien een directe upgrade niet mogelijk is, overweeg dan om de frequentie van Git-acties te beperken of om de beschikbare geheugenresources van de server te verhogen. Het implementeren van rate limiting op Git-acties kan helpen om de impact van een potentiële aanval te verminderen. Na de upgrade, controleer de Gerrit-serverlogboeken op ongebruikelijke geheugengebruikpatronen om te bevestigen dat de correctie effectief is.
Actualiseer Gerrit naar versie 2.15.22, 2.16.26, 3.0.16, 3.1.12, 3.2.7 of 3.3.2, of een latere versie. Dit corrigeert het probleem van heap geheugenuitputting veroorzaakt door niet-verlopende Jetty sessies.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2021-22553 is a medium severity vulnerability affecting Gerrit versions 3.3.2 and earlier. Repeated Git operations create unbounded Jetty sessions, leading to heap memory exhaustion and potential denial of service.
If you are using Gerrit versions 3.3.2 or earlier, you are affected by this vulnerability. Upgrade to version 3.3.2 or later to mitigate the risk.
The recommended fix is to upgrade Gerrit to version 3.3.2 or later. If an immediate upgrade is not possible, consider temporary workarounds like limiting Git operations or implementing session timeouts.
There is currently no evidence of active exploitation campaigns targeting CVE-2021-22553, but the vulnerability's nature makes it relatively easy to reproduce.
Refer to the official Gerrit security advisory for detailed information and instructions: https://groups.google.com/g/gerrit-announce/c/Vv-wz1-w_2Q
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.