URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 127153
[ Назад ]
Исходное сообщение
"Уязвимость в GitLab, позволяющая захватить аккаунты, авторизированные через OAuth, LDAP и SAML"
Отправлено opennews , 01-Апр-22 08:50 
В корректирующих обновлениях платформы для организации совместной разработки GitLab 14.7.7, 14.8.5 и 14.9.2 устранена критическая уязвимость (CVE-2022-1162), связанная с установкой предопределённых (hardcoded) паролей для учётных записей, зарегистрированных с использованием провайдера  OmniAuth (OAuth, LDAP и SAML). Уязвимость потенциально позволяет атакующему  получить доступ к учётной записи. Всем пользователям рекомендуется срочно установить обновление. Детали проблему пока не раскрываются. Для пользователей, чьи учётные записи были подвержены проблеме, инициирован  сброс установленных паролей. Проблема выявлена сотрудниками GitLab и проведённое расследование не выявило следов компрометации пользователей...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=56948

Содержание
Сообщения в этом обсуждении
"Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."
Отправлено Аноним , 01-Апр-22 08:50 
хорошо в этот раз постгрес не грохнули - спасибо
"Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."
Отправлено anonymous , 01-Апр-22 08:54 
а когда грохали?
"Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."
Отправлено pashev.ru , 01-Апр-22 09:17 
Эх, молодёжь!
"Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."
Отправлено Брат Анон , 01-Апр-22 09:06 
Пр чём тут постгресс?
"Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."
Отправлено A , 01-Апр-22 09:43 
А это софт такой. Куда не влезешь, вылезаешь немного удивлённый, с желанием больше не пользоваться.
"Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."
Отправлено Аноним , 01-Апр-22 12:47 
короткая память? не помнишь когда одмины гитлаба ушатали постгресовую базу?
"Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."
Отправлено Брат Анон , 03-Апр-22 14:42 
> короткая память? не помнишь когда одмины гитлаба ушатали постгресовую базу?

Ещё раз задам вопрос, если ты его не прочитал с первого раза:

ПРИ ЧЁМ ТУТ __ПОСТГРЕС__?

"Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."
Отправлено A , 01-Апр-22 09:42 
> ... предопределённых (hardcoded) паролей ...

AAAAAAAAA!!!! :)))

Этим сервисом нельзя пользоваться в бизнесе.

"Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."
Отправлено Аноним , 01-Апр-22 09:48 
Это энтерпрайз уровень и есть. А вы чего ждали?
"Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."
Отправлено Заноним , 01-Апр-22 13:45 
Паниковский, брось гуся.
"Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."
Отправлено randomize , 01-Апр-22 15:05 
1 апреля, не?
"Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."
Отправлено randomize , 01-Апр-22 15:11 
Надеюсь, GitLab нас все-таки разыгрывает https://about.gitlab.com/releases/2022/03/31/critical-securi.../
"Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."
Отправлено randomize , 01-Апр-22 15:12 
Хоть и правка была вчера.
"Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."
Отправлено And , 01-Апр-22 20:22 
Да уж больно в струе всего остального. Лёгкий налёт легкомысленности и лёгких последствий от того.
"Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."
Отправлено Аноним , 02-Апр-22 09:34 
> 1 апреля

В эпоху постиронии каждый день 1 апреля.

"Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."
Отправлено Аноним , 01-Апр-22 10:52 
Главное было сделано, master на main заменили и логотип раскрасили. Остальное не особо важно xD
"Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."
Отправлено Аноним , 01-Апр-22 11:30 
>логотип раскрасили

А пруфы будут? Я вот помню Medium когда-то красил логотип в цвета LGBT-флага, мне пришлось даже скрипт написать, убирающий это непотребство, ибо зайдёт кто-нибудь, а у меня на экране такое, подумают что я из "этих", в век не отмылся бы потом.

"Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."
Отправлено Аноним , 01-Апр-22 12:39 
https://about.gitlab.com/ так открой глянь
"Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."
Отправлено Аноним , 01-Апр-22 14:07 
На selfhosted некрашенный
"Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."
Отправлено Аноним , 01-Апр-22 14:53 
а селфхостед за ВПНом тем более
"Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."
Отправлено Аноним , 01-Апр-22 14:46 
> мне пришлось даже скрипт написать, убирающий это непотребство

по-моему это уже клиника. Не, то, что они раскрашивают лого - это тоже клиника, но и у тебя не менее клиника. Нормальный человек бы просто проигнорировал или выработал "баннерную слепоту".

"Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."
Отправлено Анонм , 01-Апр-22 16:02 
> подумают что я из "этих", в век не отмылся бы потом

Так ты и есть из «этих». Нормальному мужику пофигу что про него какие-то бабуины думают, это только «эти», особенно латентные, пекутся лишь бы кто чего не заподозрил. Выйди из шкафа уже, легче жить будет.

"Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."
Отправлено Аноним , 01-Апр-22 11:26 
>связанная с установкой предопределённых (hardcoded) паролей для учётных записей
>hardcoded
>Уязвимость

С каких это пор бэкдоры называются уязвимостями?

"Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."
Отправлено Аноним , 01-Апр-22 12:13 
если нашли и всем рассказали, значит уязвимость
"Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."
Отправлено Аноним , 02-Апр-22 09:36 
Бекдоры входят во множество уязвимостей.
"Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."
Отправлено Аноним , 01-Апр-22 16:41 
кому интересно: https://gitlab.com/gitlab-org/gitlab/-/commit/8e1715c7ccbf33...
"Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."
Отправлено mos87 , 05-Апр-22 08:57 
Оно на руби.
/