Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в GitHub Enterprise Server, дающая права администратора без аутентификации"	+/–
Сообщение от opennews (??), 21-Май-24, 09:07
В корректирующих обновлениях платформы GitHub Enterprise Server 3.12.4, 3.11.10, 3.10.12 и 3.9.15, предназначенной для развёртывания на собственном оборудовании обособленного окружения для совместной разработки на основе технологий GitHub, выявлена  уязвимость (CVE-2024-4985), позволяющая получить доступ с правами администратора без прохождения аутентификации. Проблема проявляется только в конфигурациях с единой точкой входа на основе технологии SAML, в которых включено шифрование сообщений от провайдеров идентификации ("encrypted assertions"). По умолчанию данный режим отключён, но преподносится как дополнительная возможность для усиления безопасности, активируемая в настройках "Settings/Authentication/Require encrypted assertions"... Подробнее: https://www.opennet.me/opennews/art.shtml?num=61220
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

2. "Уязвимость в GitHub Enterprise Server, дающая права админист..."	+9 +/–
Сообщение от Аноним (2), 21-Май-24, 09:12
> По умолчанию данный режим отключён, > но преподносится как дополнительная возможность для усиления безопасности Это просто прекрасно.
Ответить | Правка | Наверх | Cообщить модератору

	5. "Уязвимость в GitHub Enterprise Server, дающая права админист..."	+1 +/–
	Сообщение от Аноним (5), 21-Май-24, 09:43
	эпик фейл
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Уязвимость в GitHub Enterprise Server, дающая права админист..."	–1 +/–
	Сообщение от дАнон (?), 21-Май-24, 16:43
	Напомню, кличка первой собачки или фамилия по матери, тоже до сих пор для безопаски юзера используется...
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	25. "Уязвимость в GitHub Enterprise Server, дающая права админист..."	+2 +/–
	Сообщение от Аноним (25), 22-Май-24, 21:04
	Надо по заповедям бородатого жиртреста делать: Шли семидесятые годы, и Ричард Столлман начал замечать изменения в своем любимом заповеднике. Первое нашествие произошло, когда Официально Санкционированным Пользователям стали назначаться пароли, а все неавторизованные пользователи не допускались к системе. Как истинный хакер, РМС презирал пароли, и он гордился тем фактом, что компьютеры, которые он обслуживал, не имели никаких паролей. Но департамент компьютерной науки в МТИ (которым управляли другие люди, не имевшие отношения к лаборатории ИИ) решил установить на его машине систему безопасности. Столлман поднял целую кампанию, чтобы отменить эту практику. Он призывал людей использовать пароль в виде пустой строки — «возврат каретки» вместо целого слова. Так что когда машина спрашивала у вас пароль, вам было достаточно нажать RETURN, и вы могли войти в систему. Столлман также сумел взломать код системы шифрации и сумел расшифровать файл, в котором лежали пароли. Он начал рассылать пользователям сообщения, которые появлялись на экране, после того как они регистрировались в системе: Я вижу, что вы выбрали пароль [такой-то]. Я предполагаю, что вы можете переключиться на пароль «возврат каретки». Его гораздо легче набирать, и это соответствует принципу, по которому здесь не должно быть паролей. «В конце концов, я сумел добиться, чтобы пятая часть пользователей на машине имела пустой пароль», — хвастался потом РМС.
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Уязвимость в GitHub Enterprise Server, дающая права админист..."	+2 +/–
	Сообщение от penetrator (?), 21-Май-24, 16:53
	Clouds - это надежно, scale on demand ))) SSO - это централизованный надежный способ аутенфикации ))) Docker - безопасность, изоляция и отличное управление ресурсами ))) Не не, никакого оверхеда и усложнения технического решения, все просто тяп-ляп и в продакшен )))
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	20. "Уязвимость в GitHub Enterprise Server, дающая права админист..."	+/–
	Сообщение от Аноним (20), 22-Май-24, 00:40
	Все это в умелых руках решает массу проблем, в основном организационных, но и технических тоже. В руках неумелых никаких не решает и добавляет оверхед на всех уровнях.
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Уязвимость в GitHub Enterprise Server, дающая права админист..."	+/–
	Сообщение от penetrator (?), 22-Май-24, 16:23
	массой там даже и не пахнет, при том одно лечим, другое калечим, так еще и платим по барски за этот банкет
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Уязвимость в GitHub Enterprise Server, дающая права админист..."	+/–
	Сообщение от penetrator (?), 22-Май-24, 16:26
	> Все это в умелых руках решает массу проблем, в основном организационных, но > и технических тоже. В руках неумелых никаких не решает и добавляет > оверхед на всех уровнях. да что ж такое, не прошло и полдня, и опять чьи-то "неумелые" руки Fluent Bit насчитывает более 10 миллиардов внедрений и применяется для обработки и сбора логов и метрик во многих компаниях и облачных платформах, например, среди пользователей отмечаются Google Cloud, AWS, DigitalOcean, vmWare, Cisco, Microsoft, Lyft, LinkedIn, Walmart, Couchbase, Swift и Dell. В течение марта было загружено 13 млн Docker-образов с Fluent Bit. По данным компании Tenable, выявившей уязвимости, многие облачные сервисы не блокируют доступ к Web API для получения внутренних метрик, таких как uptime, и для обработки обращений к подобным API используется Fluent Bit.
	Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

3. "Уязвимость в GitHub Enterprise Server, дающая права админист..."	+/–
Сообщение от 1 (??), 21-Май-24, 09:15
Кто хотел свой маааленький обособленный житик ? А не идти на поклон к мелкомягким ?
Ответить | Правка | Наверх | Cообщить модератору

	4. "Уязвимость в GitHub Enterprise Server, дающая права админист..."	–1 +/–
	Сообщение от Аноним (4), 21-Май-24, 09:22
	Ни разу не видел, чтобы в работе использовали житхаб es. А уж для себя так вообще бред.
	Ответить | Правка | Наверх | Cообщить модератору

	24. "Уязвимость в GitHub Enterprise Server, дающая права админист..."	+1 +/–
	Сообщение от Электрон (?), 22-Май-24, 19:46
	Спасибо, понятно где аноним доселе работал (точнее где никогда не работал).
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Уязвимость в GitHub Enterprise Server, дающая права админист..."	+/–
	Сообщение от Аноним (26), 26-Май-24, 12:13
	> Ни разу не видел, чтобы в работе использовали житхаб es. Заметно, по тому как вы его называние, устоящийся акторим - GHE. А ES что то с Испанией было бы связано. Администрирую несколько GHE и GitLab и GitLab инстансов. С GHE всегда сложности, т.к. он установлен официальным способом через образы для VM. А GitLab в Docker развернут, гораздо проще обновлять, бекапить и т.д.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

6. Скрыто модератором	+1 +/–
Сообщение от Пряник (?), 21-Май-24, 10:00
Долой авторизации и аутентификации! Даёшь свободу и равенство!
Ответить | Правка | Наверх | Cообщить модератору

	8. Скрыто модератором	+/–
	Сообщение от Аноним (8), 21-Май-24, 10:01
	> Долой авторизации и аутентификации! Даёшь свободу и равенство! А что мешает гит инстальнуть?  Там ничего этого нет - внезапно :). И вот можно системой контроля версий пользоваться бесплатно, без смс и даже одобрение шефа на комит можно не спрашивать. Я проверял!
	Ответить | Правка | Наверх | Cообщить модератору

	11. Скрыто модератором	+2 +/–
	Сообщение от User (??), 21-Май-24, 10:42
	Ну да -  только сама СКВ нужна вот примерно "никому" - нужна система организации совместной работы с CI\CD, ишью, пр\ревью, репозиторий артефактов, аутентификация-авторизация, интеграцией с системой управления проектами и вот это все. А вот собственно git - не то, чтобы совсем не нужен - но использующих git в коммерческой разработке без соответствующей обвязки я не то, чтобы "за последние 10 лет" - а вот просто "не видел".
	Ответить | Правка | Наверх | Cообщить модератору

	12. Скрыто модератором	+/–
	Сообщение от Нейм (?), 21-Май-24, 11:06
	>за последние 10 лет Ты забыл вычесть из этого срока старшие классы, чувак. Если твою ошибку исправить, всё встанет на свои места
	Ответить | Правка | Наверх | Cообщить модератору

	16. Скрыто модератором	–1 +/–
	Сообщение от User (??), 21-Май-24, 12:09
	>>за последние 10 лет > Ты забыл вычесть из этого срока старшие классы, чувак. Если твою ошибку > исправить, всё встанет на свои места Ну, ты конечно же приведешь пример организаций, использующих в своей работе голый git, ведь да? Да?
	Ответить | Правка | Наверх | Cообщить модератору

	14. Скрыто модератором	+1 +/–
	Сообщение от Аноним (20), 21-Май-24, 11:41
	Весь этот обвес в действительности не необходим. Он нужен манагерам. Программерам нужен из всей этой дряни только гит. Выкатка по коммиту в ветку со сборкой на тег latest - это ультрахрень, карго традиции веб мартышек. Сама выкатка должна быть автоматизирована, безусловно, но к коммитам это привязывать никакой необходимости. Ну и конечно нет никакой проблемы хук подвесить на bare репозиторий, который будет на коммит в ветку делать clone/docker build push run. Скрипт из 10 строчек. Логика ваших энтерпрайзных комбайнов укладывается в это вполне. Добавление комментика в джиру при коммите еще одним скриптом в 10 строк. >использующих git в коммерческой разработке без соответствующей обвязки я не то, чтобы "за последние 10 лет" - а вот просто "не видел" "Тут так принято"
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

	17. Скрыто модератором	+/–
	Сообщение от User (??), 21-Май-24, 12:26
	Ну, что я могу сказать? Единственный широкоизвестный мне пример использования git'а в голом (Ммммм... относительно) виде - разработка linux kernel'а, но это прям настолько хтонический ужас, что тиражировать данный "бест практис" дураков тьфу-тьфу-тьфу не нашлось. Самое смешное, что те, что есть - в общем-то ни ci\cd ни регрессионное тестирование того-этого - ниасилили-с. А так да-да, конечно - нет никаких причин не использовать для разработки голый git, но по какой-то неведомой (Масоны или рептилоиды?) причине - его не используют. Чудеса.
	Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в GitHub Enterprise Server, дающая права администратора без аутентификации"	+1 +/–
Сообщение от Аноним (8), 21-Май-24, 10:00
> Проблема проявляется только в конфигурациях с единой точкой входа на основе технологии SAML, А, что? Атакующему тоже централизация удобно оказалась?! Надо же! :) > в которых включено шифрование сообщений от провайдеров идентификации ("encrypted > assertions"). По умолчанию данный режим отключён, но преподносится как > дополнительная возможность для усиления безопасности, Ну так написано же - это не баг, это фича. Видите, все зашифровано, централизовано, безопасТнее просто некуда. Расслабьтесь и получайте удовольствие.
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в GitHub Enterprise Server, дающая права админист..."	+1 +/–
Сообщение от К.О. (?), 21-Май-24, 10:37
Энтерпрайзненько
Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в GitHub Enterprise Server, дающая права админист..."	+2 +/–
Сообщение от Аноним (20), 21-Май-24, 11:54
Однозначно бэкдор. В принципе, любой софт от корпораций, использующийся в чувствительных вещах, где сосредотачиваются данные и управление ими, протроянен с вероятностью 1.
Ответить | Правка | Наверх | Cообщить модератору

	23. "Уязвимость в GitHub Enterprise Server, дающая права админист..."	+1 +/–
	Сообщение от Аноним (23), 22-Май-24, 17:50
	Неа. Просто вебня, она такая вебня, что надёжно не сделает никогда. Ну вот так дано в природе. Причина в ценах и востребованности. В ущерб безопасности лабают продукты, т.к. тогда хомка приносит сам деньги, иногда даже неосознанно.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема