Plataforma
java
Componente
gerrit
Corrigido em
2.15.22
2.16.26
3.0.16
3.1.12
3.2.7
3.3.2
A vulnerabilidade CVE-2021-22553 afeta o Gerrit, permitindo um esgotamento da memória heap devido à criação de sessões Jetty sem expiração. Ao executar operações Git, o Jetty cria sessões que não são automaticamente descartadas, acumulando-se ao longo do tempo e consumindo recursos. Essa vulnerabilidade afeta versões do Gerrit anteriores ou iguais a 3.3.2. A correção envolve a atualização para a versão 3.3.2 ou superior.
Um atacante pode explorar essa vulnerabilidade executando repetidamente operações Git no servidor Gerrit. Cada operação Git cria uma nova sessão Jetty sem expiração, aumentando o consumo de memória. Com o tempo, o acúmulo dessas sessões pode levar ao esgotamento da memória heap, resultando em instabilidade do servidor, lentidão e, em casos extremos, uma negação de serviço (DoS). A severidade do impacto depende do tamanho do heap configurado e da frequência das operações Git. Embora não haja um acesso direto a dados confidenciais, a indisponibilidade do servidor pode interromper o fluxo de trabalho de desenvolvimento e impactar a disponibilidade do código-fonte.
A vulnerabilidade foi divulgada em 17 de fevereiro de 2021. Atualmente, não há evidências de exploração ativa em larga escala, mas a facilidade de reprodução da vulnerabilidade sugere que ela pode ser explorada. Não foi adicionada ao KEV (CISA Known Exploited Vulnerabilities) até o momento. A ausência de um Proof of Concept (PoC) publicamente disponível não elimina o risco, pois a exploração pode ser realizada por atacantes com conhecimento técnico.
Organizations heavily reliant on Gerrit for code review, particularly those with large development teams or frequent Git activity, are at increased risk. Environments with limited server resources or inadequate monitoring practices are also more vulnerable. Teams using older Gerrit versions without robust session management configurations are particularly exposed.
• java / server:
ps -ef | grep gerrit | grep -v grep | awk '{print $2}' | xargs -I {} jstat -gc {} 2>&1 | grep -i 'HeapUsage' • java / server: Monitor Gerrit's memory usage using tools like JConsole or VisualVM. Look for steadily increasing heap usage without corresponding decreases. • java / server: Check Gerrit's Jetty configuration for session timeout settings. Ensure that session timeouts are properly configured to prevent unbounded session creation. • java / server: Review Gerrit logs for errors related to memory allocation or Jetty session management.
disclosure
Status do Exploit
EPSS
0.09% (percentil 26%)
Vetor CVSS
A mitigação primária para CVE-2021-22553 é a atualização imediata para a versão 3.3.2 ou superior do Gerrit. Se a atualização imediata não for possível, considere implementar um monitoramento rigoroso do uso de memória do servidor Gerrit. Ajustar as configurações do Jetty para limitar o tempo de vida das sessões pode ajudar a reduzir o acúmulo de sessões, mas não é uma solução completa. Implementar regras de firewall para limitar o número de solicitações Git de um único endereço IP também pode ajudar a mitigar o impacto. Após a atualização, confirme a correção verificando o uso de memória do servidor e executando operações Git para garantir que as sessões Jetty sejam devidamente descartadas.
Atualize o Gerrit para a versão 2.15.22, 2.16.26, 3.0.16, 3.1.12, 3.2.7 ou 3.3.2, ou a uma versão posterior. Isso corrige o problema de esgotamento de memória (heap) causado por sessões Jetty não expiradas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2021-22553 is a medium severity vulnerability affecting Gerrit versions 3.3.2 and earlier. Repeated Git operations create unbounded Jetty sessions, leading to heap memory exhaustion and potential denial of service.
If you are using Gerrit versions 3.3.2 or earlier, you are affected by this vulnerability. Upgrade to version 3.3.2 or later to mitigate the risk.
The recommended fix is to upgrade Gerrit to version 3.3.2 or later. If an immediate upgrade is not possible, consider temporary workarounds like limiting Git operations or implementing session timeouts.
There is currently no evidence of active exploitation campaigns targeting CVE-2021-22553, but the vulnerability's nature makes it relatively easy to reproduce.
Refer to the official Gerrit security advisory for detailed information and instructions: https://groups.google.com/g/gerrit-announce/c/Vv-wz1-w_2Q
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.