Опубликованы корректирующие обновления платформы для организации совместной разработки - GitLab 16.7.2, 16.6.4 и 16.5.6, в которых устранены две критические уязвимости. Первая уязвимость (CVE-2023-7028), которой присвоен максимальный уровень опасности (10 из 10), позволяет захватить чужую учётную запись через манипуляции с формой восстановления забытого пароля. Уязвимость вызвана возможностью отправки письма с кодом для сброса пароля на неподтверждённые email-адреса. Проблема проявляется начиная с выпуска GitLab 16.1.0, в котором появилась возможность отправки кода восстановления пароля на неверифицированный запасной email-адрес...Подробнее: https://www.opennet.me/opennews/art.shtml?num=60425
> Проблема проявляется начиная с выпуска GitLab 16.1.0, в котором появилась возможность отправки кода восстановления пароля на неверифицированный запасной email-адрес.
> возможность отправки кода восстановления пароля на неверифицированный запасной email-адрес.Господа эксперты, можете объяснить: как это вообще?
Это называется безопасность уровня "руби", есть ещё безопасность уровня "перл". Также существует безопасность уровня "пхп", там уже тёртые камаки.
А с сишкой чо?
С сишкой сразу был бы root доступ к серверу, а не угон аккаунта в веб приложении.
> А с сишкой чо?Сишка и безопасность — это параллельные миры. Которые, как мы знаем из геометрии, не пересекаются.
А ты используй не Эвклидовую
это у вас остаточные знания школьной геометрии :DDDвозьмите кривизну пространства отличную от '0' - и много чего узнаете )))
> это у вас остаточные знания школьной геометрии :DDDНе пытайтесь выглядеть умнее, чем вы есть.
> возьмите кривизну пространства отличную от '0' - и много чего узнаете )))
Строгое понятие параллельности есть только в Евклидовой геометрии.
В геометрии Лобачевского есть асимптотическая параллельность. Асимптотически параллельные прямые тоже не пересекаются.
В сферической и Римановой геометрии понятие параллельности в принципе отсутствует.
Открыл проветрить, душно.
Параллельные прямые пересекаются в бесконечности.
Докажите.
Самый безопасный уровень «раста» — там кода просто нет, соответственно ломать нечего.
Так говорят же что самый лучший код это такой код который не был написан. Если этот код был не написан на безопасном языке то это даже лучше чем если на какойто сишке или пхп
> Господа эксперты, можете объяснить: как это вообще?ну типа тебя спрашивают (или даже не спрашивают но в недрах юзерпрофайла на стопиццотом этаже вложенности закопана возможность) - "дай запасной мэйл, а то вдруг основной у тебя сдохнет а пароль ты уже давно прое..." - и ты такой радостно - а НННА! otjebites@devnull.org
А выясняется что это реально существующий домен и владелец умеет получать письма на этот адрес!
Хренак - и твой летфпад теперь - его!Кто бы мог подумать и было ли ему - вот вообще - чем?!
Поэтому теперь будешь подтверждать свои емели по паспорту, иначе хрен тебе а не возможность выкладывать свои лефтпады.
> А выясняется что это реально существующий домен и владелец умеет получать письма на этот адрес!А вот нифига.
Просто атакующий шлет запрос на восстановление не с одним мылом, а с массивом
[validDevEmail@mail.com, attakerMail@evil.com]
И все)Думаю найти нужные почтовые адреса это дело техники.
это почти как в авито
Упомянут в аккаунте элящик и номер телефона в акке( при полном доступе к почте, которая привязана к ящику )
Симке конец пришёл, она была перевыпущена. Кто-то решил залезть в авито. Ввёл данные по симке, зашёл в акк, твой старый акк без каких-либо вопросов.
Разговоры к одмену в итоге сводятся к тому что "мы не можем идентифицировать пользователя ввиду недостаточности документов в аккаунте, никакие действия недоступны без многофакторного подтверждения"( Да нахрена они нужны, просто заблокировать хотя бы !? -Но тебе на элящик летят уведомления, как "пользователь" что-то совершил, а сама контора - отказывается даже заблокировать акк с требованием прохождения верификации по номеру-элящику(вход по которым возможен и они добавлены ) )
Крч, много веселухи может быть
Самое забавное, что, из всплывающих за многие месяцы на опеннете уязвимостей гитлаба.. ни одна не работала в гитхабе. По случайному, разумеется, совпадению.
> Самое забавное, что, из всплывающих за многие месяцы на опеннете уязвимостей гитлаба.. ни одна не работала в гитхабе. По случайному, разумеется, совпадению.Может они их нашли и починили раньше?
А может гитлаб пишут раки, причем ногами.Если тут есть какая-то теория заговора, то я ее не уловил)
> А может гитлаб пишут раки, причем ногами.Ну, наверное, всё-таки люди, но пожалуй, действительно не вполне адекватные и квалифицированные (говорю по многолетнему опыту эксплуатации гитлаба, закончившейся переездом на gitea+argo).
А зачем упоминать номер телефона в акте Авито? Прищемили себе дверью, а потом жалуетесь?
> А зачем упоминать номер телефона в акте Авито? Прищемили себе дверью, а
> потом жалуетесь?ну там... номер телефона кагбэ.. просиццо
Вообще-то, это уже далеко не основной, но весьма странная ситуация, когда контора не то чтобы восстанавливает старый акк( не надо ), но отказывается заблокировать старый и рассказывает сказки про комплексное подтверждение входа, которого, по факту, нет
Потому что долгое время это был основной идентификатор аккаунта. Не изолированная почта, не пара логин-пароль, а привязка к номеру. Естественно, номера собирались в базы, были сайты с коллекцией всех когда-либо размещённых объявлений по номеру, итд. Никакой приватности, но оно работало, было удобно и не создавало проблем.Потом пришли эффективные менеджеры, и теперь авито безальтернативно просит мордой в вебку покрутить и паспорт прислать. И номер продавца теперь не узнать, чтобы прозвонить ему голосом. Всё взаимодействие только через сайт, а для сайта нужен аккаунт, а для аккаунта сливать авито персданные.
Ну так, может, не надо регистрироваться на мутных сайтах, если они требуют номер телефона?
А если все-таки хочется продать свой пентиум 3?
Или нужно поискать на барахолке память для своего коредвадуо, а бомжи около мусорки принимают тебя за конкурента?
Вот именно тогда люди регистрируются на всяких авитах.
> Ну так, может, не надо регистрироваться на мутных сайтах, если они требуют
> номер телефона?*шутка про не_мутные сайты с обилием предложений по товару, которые. притом, ничего не требуют и не спрашивают*
Как не в РФ живёшь, ейбогу
А номер телефона нынче требуется почти для всего вплоть до почты( уже лет 5 назад были большие сложности с регистрацией ящика на том же гугломейле без предоставления телефона. Даже если удалось, то быстро блочат "обнаружена подозрительная активность" и требуют предоставить номер, иначе - акк не разблокировать, ведь подозрительно )
Напомнило легендарный немецкий хостинг Contabo, который позволял зарегаться без скана паспорта.
Но, по удивительному совпадению, ровно через два месяца после регистрации у всех пользователей случалась "подозрительная активность", и для разблокировки аккаунта нужен был скан паспорта.
У меня еще веселей - симка давно сдохла, но залезть в авито решил я. Акаунту лет десять уже.
Телефон тогда еще не требовали с ножом к горлу, но он там был просто чтоб мне могли позвонить потенциальные покупатели.И... опаньки - мы тебе прислали нужный и полезный смс, срочно введи оттуда кот. Да нам похрен что ты знаешь свой пароль, что тебе по прежнему принадлежит мэйл и что ты не просил такой "заботы" - кот давай.
И да, никакие действия недоступны, авите лудше знать как заботиться о твоей безопастносте.
У меня ещё ещё веселее.Купил симку, активировал. Стал пользоваться.
И тут стали приходить смс о банковских операциях. О восстановлении доступа в фейсбук чи вконтакт.
Я по номеру то в фейсбук и зашёл, но не нашёл там способа связаться с владельцем и попросить его от..вязать потерянный номер от банковского аккаунта.
Смени ему авку на картинку с текстом, который хочешь ему передать
ну фигле... я про вконтакт только знаю (потому что раз в три года все же вынужден пользоваться чтобы прочитать что-то зачем-то там помеченное "только для залогиненых", секьюрить, мля) - а сколько и чего у меня еще было попривязано к левым симкам - даже и не вспомнить уже.И как его отвязать-то если симка уже не твоя? Просить тебя переслать код из смсочки?
Но в принципе можешь ему в фейсбуке на страничку нагадить, в предположении что он хотя бы помнит какой у него был номер, хотя... в некоторых странах уголовно наказуемо.
> Господа эксперты, можете объяснить: как это вообще?Всё просто. Так всегда, если халтурят в угоду конъюктуре, вместо создания продукта.
Они ж работу с регулярками начинали два раза. Результат обоих попыток оставил чувство отторжения и желание перестать пользоваться.
Увы и ах. Ну такие они.
> Всё просто. Так всегда, если халтурят в угоду конъюктуре, вместо создания продукта.Обычный бизнес в IT. Можно подумать, Microsoft делал иначе.
Обыденность зла. Всё так.Сосед бандюк, выбивающий из должников ночами, может запросто зайти к соседу попросить по человески кончившейся соли. Будет добрый человек, сосед... А ночью выбивает...
И что, что другие так делают? Тоже так хочешь? Или хочешь назвать это хорошим, передёрнуть смыслы? А?
"Хорошая корпорация" — оксюморон.
Любая корпорация занимается добычей денег, и пути к этой цели уж точно не ограничиваются моралью. Только законом, да и то не всегда.
А Tor ещё перешёл на это рeшето с trac...
В трак ещё хуже.
Они и на Раст со временем планируют перейти, в соответствии с рекомендациями NSA.
NSA любит только сишку. Иначе может не получиться зайти с туза, а это очень важно для защиты демократии.
Неа, NSA уже не может в Си, потому что туда набирают по квотам, вот они и рекомендуют преписать все на Rust https://www.itpro.com/development/programming-languages/3694...
чувак осторожней - там некий Хэнлон чота недобро улыбается и бритвой небезопасной помахивает в твою сторону.
срачно внидряем стофакторную аутентификацию! С подтверждением нотариально заверенной копией паспорта!
Уязвимость 10/10 - можно получить доступ к чужой учётной записи, прислав произвольную фотографию.
Произвольную фотографию чего?
Родойдет любая или нужно какая то особенная?
А сколько было аргументов в теме про обязательную двухфакторку.
С призывами "уходить на гитлаб"
Ну что? Ушли))?
забавно то, что на гитхабе эти уязвимости почему-то не всплывают
Не всплывают или их там нет?
Предположу второе, тк "майкрософт удаляет все упоминания о вулнах в гитхабе и убирает свидетелей" - это перебор дляже для мелкомягких)
Ну, как минимум, аудитить код gh сложнее, так как он не опенсорсный.
Если говорить про уязвимость из новости - то тут достаточно было UI.
Возможно разные настройки делали разные команды и возникла несогласованность.
Или какая-то новая фича перекрыла и испортила старую.Вот бы была какая-то BIM система для разработки, как у строителей.
Чтобы ты ей "а добавлю я, от такую фичу", а она тебе "угу, поломаешь тут и вот тут, ну удачи лузер!".
> Если говорить про уязвимость из новости - то тут достаточно было UI.Где в интерфейсе восстановления пароля гитлаба ввести массив почт?
Есть сливы ынтерпрайз версии.
Белые хакеры вряд ли на такое заморачиваться будут, потому что статус весьма мутный.
А чёрные на станут публиковать инфу о дырах, у них другие методы заработка.
> Белые хакеры вряд ли на такое заморачиваться будут, потому что статус весьма
> мутный.
> А чёрные на станут публиковать инфу о дырах, у них другие методы
> заработка.Не понял про статус. Можно из кода скрафтить эксплойт и если он воспроизводится в проде, то бинго. Говорить откуда у тебя эксплойт не обязательно же.
Ушёл. Сначала на GitLab, когда GH купила M$. Потом обратно, когда GitLab inc. решила, что ей всё можно. В след за ней M$ решила, что ей всё тоже можно - куда вы денетесь с подводной лодки. Ушёл на Codeberg.
Мыши плакали, кололись, но продолжали есть бесплатный сыр, несмотря на то, что к нему была привязана ниточка, позволяющая выдернуть его прямо из желудка бедной мышки.
Пойди платный браузер поюзай, Netscape Communicator 4.0.
Попытка съехать с темы не засчитана.
Ты не путай тёплое с мягким.Одно дело — обязательная двухфакторка. Через оффлайновые генераторы кодов, например.
Другое — идиотская привязка к номеру телефона, деанонимизирующая, но не защищающая абсолютно ни от чего.
И не надо подменять понятия. Обязательная двухфакторка — хорошо. Привязка к мобиле и паспорту — зло.
Это да, но в теме про двухфакторку PyPI куча анонов порвались.
Им даже FreeOTP, LinOTP, Authy, Google Authenticator не подходят.А некоторые, особо долбанутые, начали рассказывать про злое FIDO (но не то) и токены которые за ними следят и "куда надо докладывают".
ну так это их проблемы, что у них бред преследования на почве матана
> у них бред преследования на почве unix wayИсправил опечатки.
>Обязательная двухфакторка — хорошо.https://www.opennet.me/opennews/art.shtml?num=60408
>невозможности использования USB-ключей FIDO2 в приложениях после их использования в Firefox.
Оно звучит страшнее, чем есть на самом деле. Как ты в учетку свой email то добавишь?
> Оно звучит страшнее, чем есть на самом деле. Как ты в учетку
> свой email то добавишь?так чужой же надо добавлять!
Например так:Можно переопределить почту в механизме восстановления пароля, передав специально сформированный запрос, в котором в нулевом элементе массива будет валидный email, а в следующем - злоумышленника.
PoC:
user[email][]=valid@email.com&user[email][]=attacker@email.com
Для проверки фактов компрометации систем предлагается оценить в логе gitlab-rails/production_json.log наличие HTTP-запросов к обработчику /users/password с указанием массива из нескольких email в параметре "`params.value.email`". Также предлагается проверить наличие в логе gitlab-rails/audit_json.log записей со значением PasswordsController#create в meta.caller.id и указанием массива из нескольких адресов в блоке target_details. Атака не может быть доведена до конца при включении пользователем двухфакторной аутентификации.
О наконец-то кто-то пришел и нормально объяснил.
Если оно действительно так работает, то это фейл просто эпичнеший.
И было бы неплохо добавить пояснение в статью.
https://github.com/RandomRobbieBF/CVE-2023-7028
Хммм, неужели уязвимости бывают не только из-за ошибок управления памятью? Не может быть!
Ну а что делать, если в языке нет встроенных механизмов, позволяющих выстрелить себе в ногу?
Приходится изобретать пистолет и патроны.
А что ещё должно было быть у людей, шантажировавших отключением оплаченного сервиса, если не согласятся на телеметрию:
https://www.opennet.me/opennews/art.shtml?num=51746
https://www.opennet.me/opennews/art.shtml?num=51751Это не тот софт, где делают софт ради качества. Обычные конъюктурщики, но не разработчики.
"Частная компания, что хотят, то и делают" ©
Да и на здоровье.Утверждение о том, что такие компании людей дают такой результат.
Т.е. не надо пользоваться продуктами людей с такими свойствами, если хочешь пользоваться хорошим. Т.к. у них не было основной целью седлать норм. и отл. софт для CI, а делали они совсем другое.
А остальным только показалось, что на халяву дают CI комбайн с жёстко прибитыми гвоздями фичами и Git.