forum.opennet.ru - "Уязвимость в GitLab, позволяющее запустить код при сборке в CI любого проекта" (14)

"Уязвимость в GitLab, позволяющее запустить код при сборке в CI любого проекта"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в GitLab, позволяющее запустить код при сборке в CI любого проекта"	+/–
Сообщение от opennews (??), 08-Май-23, 09:55
Опубликованы корректирующие обновления платформы для организации совместной разработки - GitLab 15.11.2, 15.10.6 и 15.9.7, в которых устранена критическая уязвимость (CVE-2023-2478), позволяющая любому аутентифицированному пользователю через манипуляции с API GraphQL прикрепить собственный runner-обработчик (приложение для запуска задач при сборке кода проекта в системе непрерывной интеграции) к любому проекту на том же сервере. Подробности эксплуатации пока не приводятся. Информация об уязвимости передана в GitLab в рамках действующей на HackerOne программы выплаты вознаграждений за обнаружение уязвимостей... Подробнее: https://www.opennet.me/opennews/art.shtml?num=59098
Ответить \| Правка \| Cообщить модератору

Оглавление

Если хорошо порыться в этом комбайне, думаю таких уязвимостей с десяток , Аноним (1), 09:55 , 08-Май-23, (1) +11

ну еще бы считай бесплатный dos бот , Tester (??), 11:14 , 08-Май-23, (9) +2

Всегда ж был софт недоделанный, жёстко фиксирующий возможности Дженкинс уж куда , Аноним (33), 17:37 , 09-Май-23, (33)

Я бы покопался в нем, но ошибка 404 не даёт покоя Разработчики что-то знают , Аноним (13), 12:22 , 08-Май-23, (13)

Скрыто модератором, Аноним (3), 10:14 , 08-Май-23, (3)

Скрыто модератором, Аноним (8), 11:07 , 08-Май-23, (8)

Скрыто модератором, Аноним (3), 11:27 , 08-Май-23, (10) +2

Скрыто модератором, Аноним (15), 12:29 , 08-Май-23, (15) +1
Скрыто модератором, Аноним (8), 13:12 , 08-Май-23, (16) +1

мало того что переусложнение на ровном месте, так ещё и дырявое, Бывалый смузихлёб (?), 10:26 , 08-Май-23, (5) +1
Вот блиин, я я только-только манйнер под эту уязвимость написал , ИмяХ (?), 10:35 , 08-Май-23, (6)
Как это поможет запустить код атакующего Выглядит не как RCE, а как утечка кода, Аноним (8), 11:05 , 08-Май-23, (7)

Ну да это скорее фича Наверняка в проектах бывает что-то что без этого не работ, Аноним (3), 11:29 , 08-Май-23, (11)
Кек, компайл тайм бекдоры, а дальше что там с непрерывной доставкой Хуяк, хуяк , Sw00p aka Jerom (?), 08:58 , 09-Май-23, (31)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 08-Май-23, 09:55 +11 +/–

Если хорошо порыться в этом комбайне, думаю таких уязвимостей с десяток.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #13

3. Сообщение от Аноним (3), 08-Май-23, 10:14 +/–

Чо никто не орёт что Руби виноват?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

5. Сообщение от Бывалый смузихлёб (?), 08-Май-23, 10:26 +1 +/–

> через манипуляции с API GraphQL
мало того что переусложнение на ровном месте, так ещё и дырявое

Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от ИмяХ (?), 08-Май-23, 10:35 +/–

Вот блиин, я я только-только манйнер под эту уязвимость написал(((

Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Аноним (8), 08-Май-23, 11:05 +/–

>позволяющее запустить код при сборке в CI любого проекта
>позволяющая любому аутентифицированному пользователю через манипуляции с API GraphQL прикрепить собственный runner-обработчик (приложение для запуска задач при сборке кода проекта в системе непрерывной интеграции) к любому проекту на том же сервере.
Как это поможет запустить код атакующего? Выглядит не как RCE, а как утечка кода из приватного репозитория на раннер.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #31

8. Сообщение от Аноним (8), 08-Май-23, 11:07 +/–

Виноваты проекты, мигрировавшие с trac на это. При этом они корчат из себя экспертов по безопасности. Что это, глупость, или измена?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #10

9. Сообщение от Tester (??), 08-Май-23, 11:14 +2 +/–

ну еще бы... считай бесплатный dos бот.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #33

10. Сообщение от Аноним (3), 08-Май-23, 11:27 +2 +/–

Сойдемся что виновата как всегда сишка.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #15, #16

11. Сообщение от Аноним (3), 08-Май-23, 11:29 +/–

Ну да это скорее фича. Наверняка в проектах бывает что-то что без этого не работает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

13. Сообщение от Аноним (13), 08-Май-23, 12:22 +/–

Я бы покопался в нем, но ошибка 404 не даёт покоя. Разработчики что-то знают.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

15. Сообщение от Аноним (15), 08-Май-23, 12:29 +1 +/–

В любой непонятной ситуации переписывай раст на паскале

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

16. Сообщение от Аноним (8), 08-Май-23, 13:12 +1 +/–

Нет, виноваты руководители этого проекта. И да, на раст они его уже как год обещают переписать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

31. Сообщение от Sw00p aka Jerom (?), 09-Май-23, 08:58 +/–

>Выглядит не как RCE
Кек, компайл тайм бекдоры, а дальше что там с непрерывной доставкой? Хуяк, хуяк и в продакшен ведь :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

33. Сообщение от Аноним (33), 09-Май-23, 17:37 +/–

Всегда ж был софт недоделанный, жёстко фиксирующий возможности.
Дженкинс уж куда есть за что критиковать, но в Дж. хотя бы можно сделать спланированное. А Гилабе - нельзя, жёстко прибито гвоздями.
Посмотри как регулярки сделали, бросили и заново другие сделали и ни то ни то не особо... работает. Ну, работает, если ограничиться. Но - душнова-то в нём.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 08-Май-23, 09:55	+11 +/–
Если хорошо порыться в этом комбайне, думаю таких уязвимостей с десяток.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #9, #13

3. Сообщение от Аноним (3), 08-Май-23, 10:14	+/–
Чо никто не орёт что Руби виноват?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #8

5. Сообщение от Бывалый смузихлёб (?), 08-Май-23, 10:26	+1 +/–
> через манипуляции с API GraphQL мало того что переусложнение на ровном месте, так ещё и дырявое
Ответить \| Правка \| Наверх \| Cообщить модератору

6. Сообщение от ИмяХ (?), 08-Май-23, 10:35	+/–
Вот блиин, я я только-только манйнер под эту уязвимость написал(((
Ответить \| Правка \| Наверх \| Cообщить модератору

7. Сообщение от Аноним (8), 08-Май-23, 11:05	+/–
>позволяющее запустить код при сборке в CI любого проекта >позволяющая любому аутентифицированному пользователю через манипуляции с API GraphQL прикрепить собственный runner-обработчик (приложение для запуска задач при сборке кода проекта в системе непрерывной интеграции) к любому проекту на том же сервере. Как это поможет запустить код атакующего? Выглядит не как RCE, а как утечка кода из приватного репозитория на раннер.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #11, #31

8. Сообщение от Аноним (8), 08-Май-23, 11:07	+/–
Виноваты проекты, мигрировавшие с trac на это. При этом они корчат из себя экспертов по безопасности. Что это, глупость, или измена?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #10

9. Сообщение от Tester (??), 08-Май-23, 11:14	+2 +/–
ну еще бы... считай бесплатный dos бот.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #33

10. Сообщение от Аноним (3), 08-Май-23, 11:27	+2 +/–
Сойдемся что виновата как всегда сишка.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8 Ответы: #15, #16

11. Сообщение от Аноним (3), 08-Май-23, 11:29	+/–
Ну да это скорее фича. Наверняка в проектах бывает что-то что без этого не работает.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7

13. Сообщение от Аноним (13), 08-Май-23, 12:22	+/–
Я бы покопался в нем, но ошибка 404 не даёт покоя. Разработчики что-то знают.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

15. Сообщение от Аноним (15), 08-Май-23, 12:29	+1 +/–
В любой непонятной ситуации переписывай раст на паскале
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10

16. Сообщение от Аноним (8), 08-Май-23, 13:12	+1 +/–
Нет, виноваты руководители этого проекта. И да, на раст они его уже как год обещают переписать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10

31. Сообщение от Sw00p aka Jerom (?), 09-Май-23, 08:58	+/–
>Выглядит не как RCE Кек, компайл тайм бекдоры, а дальше что там с непрерывной доставкой? Хуяк, хуяк и в продакшен ведь :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7

33. Сообщение от Аноним (33), 09-Май-23, 17:37	+/–
Всегда ж был софт недоделанный, жёстко фиксирующий возможности. Дженкинс уж куда есть за что критиковать, но в Дж. хотя бы можно сделать спланированное. А Гилабе - нельзя, жёстко прибито гвоздями. Посмотри как регулярки сделали, бросили и заново другие сделали и ни то ни то не особо... работает. Ну, работает, если ограничиться. Но - душнова-то в нём.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9