OpenForum RSS: Уязвимость в GitLab, позволяющее запустить код при сборке в CI любого проекта https://ssl.opennet.dev/openforum/vsluhforumID3/130408.html Опубликованы корректирующие обновления платформы для организации совместной разработки - GitLab 15.11.2, 15.10.6 и 15.9.7, в которых устранена критическая уязвимость (CVE-2023-2478), позволяющая любому аутентифицированному пользователю через манипуляции с API GraphQL прикрепить собственный runner-обработчик (приложение для запуска задач при сборке кода проекта в системе непрерывной интеграции) к любому проекту на том же сервере. Подробности эксплуатации пока не приводятся. Информация об уязвимости передана в GitLab в рамках действующей на HackerOne программы выплаты вознаграждений за обнаружение уязвимостей...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59098<br> Уязвимость в GitLab, позволяющее запустить код при сборке в ... (Аноним) https://ssl.opennet.dev/openforum/vsluhforumID3/130408.html#33 Tue, 09 May 2023 14:37:26 GMT Всегда ж был софт недоделанный, жёстко фиксирующий возможности.<br>Дженкинс уж куда есть за что критиковать, но в Дж. хотя бы можно сделать спланированное. А Гилабе - нельзя, жёстко прибито гвоздями.<br><br>Посмотри как регулярки сделали, бросили и заново другие сделали и ни то ни то не особо... работает. Ну, работает, если ограничиться. Но - душнова-то в нём.<br> Уязвимость в GitLab, позволяющее запустить код при сборке в ... (Sw00p aka Jerom) https://ssl.opennet.dev/openforum/vsluhforumID3/130408.html#31 Tue, 09 May 2023 05:58:31 GMT &gt;Выглядит не как RCE<br><br>Кек, компайл тайм бекдоры, а дальше что там с непрерывной доставкой? Хуяк, хуяк и в продакшен ведь :)<br> Уязвимость в GitLab, позволяющее запустить код при сборке в ... (Аноним) https://ssl.opennet.dev/openforum/vsluhforumID3/130408.html#16 Mon, 08 May 2023 10:12:53 GMT Нет, виноваты руководители этого проекта. И да, на раст они его уже как год обещают переписать.<br> Уязвимость в GitLab, позволяющее запустить код при сборке в ... (Аноним) https://ssl.opennet.dev/openforum/vsluhforumID3/130408.html#15 Mon, 08 May 2023 09:29:23 GMT В любой непонятной ситуации переписывай раст на паскале<br> Уязвимость в GitLab, позволяющее запустить код при сборке в ... (Аноним) https://ssl.opennet.dev/openforum/vsluhforumID3/130408.html#13 Mon, 08 May 2023 09:22:33 GMT Я бы покопался в нем, но ошибка 404 не даёт покоя. Разработчики что-то знают.<br> Уязвимость в GitLab, позволяющее запустить код при сборке в ... (Аноним) https://ssl.opennet.dev/openforum/vsluhforumID3/130408.html#11 Mon, 08 May 2023 08:29:41 GMT Ну да это скорее фича. Наверняка в проектах бывает что-то что без этого не работает.<br> Уязвимость в GitLab, позволяющее запустить код при сборке в ... (Аноним) https://ssl.opennet.dev/openforum/vsluhforumID3/130408.html#10 Mon, 08 May 2023 08:27:48 GMT Сойдемся что виновата как всегда сишка.<br> Уязвимость в GitLab, позволяющее запустить код при сборке в ... (Tester) https://ssl.opennet.dev/openforum/vsluhforumID3/130408.html#9 Mon, 08 May 2023 08:14:05 GMT ну еще бы... считай бесплатный dos бот.<br> Уязвимость в GitLab, позволяющее запустить код при сборке в ... (Аноним) https://ssl.opennet.dev/openforum/vsluhforumID3/130408.html#8 Mon, 08 May 2023 08:07:51 GMT Виноваты проекты, мигрировавшие с trac на это. При этом они корчат из себя экспертов по безопасности. Что это, глупость, или измена?<br>