The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Критическая уязвимость в GitLab"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критическая уязвимость в GitLab"  +/
Сообщение от opennews (?), 11-Июл-24, 10:04 
Опубликованы корректирующие обновления платформы для организации совместной разработки - GitLab 17.1.2, 17.0.4 и 16.11.6, в которых устранены 6 уязвимостей. Одной из проблем (CVE-2024-6385)  присвоен критический уровень опасности. Как и уязвимость, устранённая в прошлом месяце, новая проблема позволяет запустить работы в конвейере непрерывной интеграции (pipeline jobs) под произвольным пользователем...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=61525

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Критическая уязвимость в GitLab"  +12 +/
Сообщение от нах. (?), 11-Июл-24, 10:04 
шо, опять?!
Ответить | Правка | Наверх | Cообщить модератору

32. "Критическая уязвимость в GitLab"  +2 +/
Сообщение от Аноним (-), 11-Июл-24, 19:59 
> шо, опять?!

Наслаждайся, continious integration бэкдоров в CI - для всех желающих. Coming soon^W yesterday.

Ответить | Правка | Наверх | Cообщить модератору

35. "Критическая уязвимость в GitLab"  +/
Сообщение от Олег (??), 11-Июл-24, 21:20 
Это ещё кубик как следует не исследовали
Точнее те кто исследовали, как раз и шифруют все подряд за кучу денежек взамен
Ответить | Правка | Наверх | Cообщить модератору

44. "Критическая уязвимость в GitLab"  +/
Сообщение от анон (?), 12-Июл-24, 18:09 
Нужно придумать какой-нибудь веб фреймфорк из мира раста, чтобы было максимально безопасно.
Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

52. "Критическая уязвимость в GitLab"  +/
Сообщение от Аноним (52), 14-Июл-24, 14:57 
Дело не в инструменте, а что именно хотели получить. Хотели получить модную, продаваемую штуку усилиями на минималках.

Оно будет таким же на любом языке. Не одну тысячу лет как уже всё понято и известно про причину.

Ответить | Правка | Наверх | Cообщить модератору

4. Скрыто модератором  –5 +/
Сообщение от Аноним (4), 11-Июл-24, 10:16 
Ответить | Правка | Наверх | Cообщить модератору

5. Скрыто модератором  +/
Сообщение от Аноним (5), 11-Июл-24, 10:37 
Ответить | Правка | Наверх | Cообщить модератору

6. Скрыто модератором  +/
Сообщение от Golangdev (?), 11-Июл-24, 10:48 
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

9. Скрыто модератором  +/
Сообщение от Аноним (9), 11-Июл-24, 11:00 
Ответить | Правка | Наверх | Cообщить модератору

11. Скрыто модератором  +/
Сообщение от Голум (?), 11-Июл-24, 11:13 
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

13. Скрыто модератором  +/
Сообщение от Аноним (13), 11-Июл-24, 11:37 
Ответить | Правка | Наверх | Cообщить модератору

8. Скрыто модератором  +2 +/
Сообщение от kusb reg (ok), 11-Июл-24, 11:00 
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

12. Скрыто модератором  +2 +/
Сообщение от Массоны Рептилоиды (?), 11-Июл-24, 11:18 
Ответить | Правка | Наверх | Cообщить модератору

14. Скрыто модератором  +2 +/
Сообщение от cheburnator9000 (ok), 11-Июл-24, 11:48 
Ответить | Правка | Наверх | Cообщить модератору

15. Скрыто модератором  +2 +/
Сообщение от Аноним (15), 11-Июл-24, 12:32 
Ответить | Правка | Наверх | Cообщить модератору

24. Скрыто модератором  +/
Сообщение от Аноним (24), 11-Июл-24, 16:28 
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

16. "Критическая уязвимость в GitLab"  +3 +/
Сообщение от Аноним (16), 11-Июл-24, 12:43 
Gitlab - новый sendmail.
Ответить | Правка | Наверх | Cообщить модератору

22. "Критическая уязвимость в GitLab"  –1 +/
Сообщение от Аноним (22), 11-Июл-24, 16:03 
причем на безопасном руби
Ответить | Правка | Наверх | Cообщить модератору

25. "Критическая уязвимость в GitLab"  –6 +/
Сообщение от Аноним (25), 11-Июл-24, 17:16 
И на безопасном линукс, молодцы!
А, чтобы не было никаких уязвимостей в ч.н.в Гите - надо отменить пароли! Вот я, например, сижу даже в линуксе - не только без антивируса а и даже рутового пароля - неверится? Только что, очень детально, расписал тут:
- https://www.opennet.me/opennews/art.shtml?num=61517#25


Ответить | Правка | Наверх | Cообщить модератору

51. "Критическая уязвимость в GitLab"  +/
Сообщение от Аноним (52), 14-Июл-24, 14:45 
Отсутствие пароля на рута из коробки есть на сегодня у многих попсовых и не-попсовых дистров.
Ответить | Правка | Наверх | Cообщить модератору

17. "Критическая уязвимость в GitLab"  +7 +/
Сообщение от Аноним (17), 11-Июл-24, 12:50 
А что вы хотели от мегакомбайна, дистрибутив которого весит как целая ОС.
Ответить | Правка | Наверх | Cообщить модератору

27. "Критическая уязвимость в GitLab"  +1 +/
Сообщение от Аноним (27), 11-Июл-24, 18:02 
Он ещё и ресурсов ест вагон и маленькую тележку
Ответить | Правка | Наверх | Cообщить модератору

50. "Критическая уязвимость в GitLab"  +/
Сообщение от Аноним (52), 14-Июл-24, 14:42 
Ага. Шефу для инсталляции сервера уже 9 лет тому назад надо было четыре гига-байта у виртуалки. С тех пор легче не стало. Но зато всем как на сладкое - на графический интерфейс: рыболовный крючок с блесной надёжно заглочен.
Ответить | Правка | Наверх | Cообщить модератору

19. "Критическая уязвимость в GitLab"  –1 +/
Сообщение от Аноним (19), 11-Июл-24, 13:40 
Это полностью закономерно. Но кое-какие вредители и саботажники из кое-какого проекта, который нельзя называть, приняли решение перейти с trac на GitLab. Их заранее предупреждали, чем это чревато. Им было и есть фиолетово.
Ответить | Правка | Наверх | Cообщить модератору

20. "Критическая уязвимость в GitLab"  +/
Сообщение от Аноним (20), 11-Июл-24, 13:50 
А у трака есть конвейер?
Ответить | Правка | Наверх | Cообщить модератору

21. "Критическая уязвимость в GitLab"  +1 +/
Сообщение от Аноним (21), 11-Июл-24, 15:44 
Ну trac настолько убог что любой продукт, хоть даже и с remote root который не будут исправлять - уже достойнейшая ему замена.
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

33. "Критическая уязвимость в GitLab"  +1 +/
Сообщение от Аноним (-), 11-Июл-24, 20:04 
> хоть даже и с remote root который не будут исправлять - уже достойнейшая ему замена.

Ну тогда и айпишники скажи, раз пошла такая пьянка. Будет тебе runner'ов на CI вджобы, заодно проверим какой счет за электричество вас не напрягает. Так и быть мaйнер будет с низким приоритетом и для нормальных джобов ресурсы останутся. Социально-ответственный, этический мaйнинг!

Ответить | Правка | Наверх | Cообщить модератору

29. "Критическая уязвимость в GitLab"  +/
Сообщение от Аноним (27), 11-Июл-24, 18:09 
Между делом, разработчики trac лет шесть рожали новую ветку. Только в этом году релизнули, кажется. С тех пор поезд ушел, трекер без управления репозиториями и сиая уже мало кому нужен.
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

39. "Критическая уязвимость в GitLab"  +/
Сообщение от mimocrocodile (?), 12-Июл-24, 07:52 
> трекер без управления репозиториями и сиая уже мало кому нужен.

Jira: - ну да, ну да, пошёл я...

Ответить | Правка | Наверх | Cообщить модератору

45. "Критическая уязвимость в GitLab"  +/
Сообщение от Аноним (45), 12-Июл-24, 20:59 
> Jira: - ну да, ну да, пошёл я...

Жира не может пойти. Она может только ползти.

Ответить | Правка | Наверх | Cообщить модератору

49. "Критическая уязвимость в GitLab"  +/
Сообщение от Аноним (52), 14-Июл-24, 14:39 
Трекер не должен управлять репами. У трекера, весего только, нужна интеграция с репами. А не управлятор.
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

54. "Критическая уязвимость в GitLab"  +/
Сообщение от нах. (?), 14-Июл-24, 17:35 
причем у trac эта фича есть с рождения (ну да, ну да - и это репо - svn. гит прикручен позднее и в концепцию вписался хуже. Впрочем, а зачем нам гит если мы не используем гитхлам?)

Ответить | Правка | Наверх | Cообщить модератору

26. "Критическая уязвимость в GitLab"  –1 +/
Сообщение от Аноним (25), 11-Июл-24, 17:23 
>> Любому здравомыслящему человеку понятно, что это происки рептилоидов из планеты Нибиру.
> Массоны Рептилоиды:  Не, мы тут не при чём. Просто у разрабов руки из *опы

Да, мне тоже кажется не надо путать их с вами, рептилоидами-масонами, "из планеты" Земля.
Те то даже не известно живы ещё - вон сколько тысячетелей уже прошло то...
Да и видом же - сразу видно их, что рептилоиды - а, вас только по косвенным признакам
(политическим, идеалогическим и всякого рода психически и морально деструктивным).

Ответить | Правка | Наверх | Cообщить модератору

28. "Критическая уязвимость в GitLab"  +/
Сообщение от Аноним (28), 11-Июл-24, 18:05 
AI скоро решит проблему уязвимостей. Другой язык - нет.
Ответить | Правка | Наверх | Cообщить модератору

31. "Критическая уязвимость в GitLab"  +2 +/
Сообщение от _ (??), 11-Июл-24, 19:07 
Это как же?

Впрочем я знаю как - люди станут ещё тупее и будут считать компы чудесным артефактом данным богами, ковырять нельзя можно приносить жертвы :)
Удачи! :)

Ответить | Правка | Наверх | Cообщить модератору

40. "Критическая уязвимость в GitLab"  –1 +/
Сообщение от Фняк (?), 12-Июл-24, 07:56 
Не то что нельзя, а строго запрещено DMCA, PIPA, SOPA, Patriot Act и ещё пучком каких-нибудь acts
Ответить | Правка | Наверх | Cообщить модератору

53. "Критическая уязвимость в GitLab"  +/
Сообщение от Аноним (52), 14-Июл-24, 15:02 
Скорее, что как и прежде: будет меньше ввозможностей думать по своему и при этом мочь применять изобретаемое. Это станет дороже и реже встречаться. Больше станет марша молотков из Pink Floyd The Wall.
Ответить | Правка | Наверх | Cообщить модератору

34. "Критическая уязвимость в GitLab"  +/
Сообщение от Аноним (-), 11-Июл-24, 20:06 
> AI скоро решит проблему уязвимостей. Другой язык - нет.

Для этого AI надо было обучать на коде без уязвимостей, а где его такой на этой планете взять?!

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

43. "Критическая уязвимость в GitLab"  +/
Сообщение от Аноним (43), 12-Июл-24, 12:19 
Окончательно.
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

48. "Критическая уязвимость в GitLab"  +/
Сообщение от Аноним (52), 14-Июл-24, 14:35 
> AI скоро решит проблему уязвимостей. Другой язык - нет.

Нет. Т.к. нужному для того ИИ не дадут нужную базу знаний. Либо это будет уже после смерти внуков.

Проблема не в языке, не в процессоре. Проблема в постановке цели и использованных техниках достижения. Применив тот же подход с помощью ИИ получат примерно тоже самое: местами не сделанное, местами не продуманное, работающее в соответсвии, но зато красиво выглядит и нубам кажется чем-то супер годным.

Хотя, пробуя пользоваться 6 лет, прошёл путь от "ой, интересно", до "без мата думать про него не бывает". Оказывается, что если система в Омнибусе, конфигурится Шефом, то это плохой признак для инженера.

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

55. "Критическая уязвимость в GitLab"  +/
Сообщение от Аноним (55), 17-Июл-24, 13:45 
>не дадут нужную базу знаний

Да ладно, даже opennet заспамлен сообщениями об уязвимостях. Все БД CVE открыты, исходный код тоже есть, бери обучай. Уже есть научные работы с первыми результатами, выглядит многообещающе.

Ответить | Правка | Наверх | Cообщить модератору

46. "Критическая уязвимость в GitLab"  +/
Сообщение от Аноним (-), 13-Июл-24, 22:38 
Почему интеграции а не развертывания? Почему конвейер а не техпроцесс? Что и когда в российских учебниках пошло не так...
Ответить | Правка | Наверх | Cообщить модератору

47. "Критическая уязвимость в GitLab"  +/
Сообщение от Аноним (52), 14-Июл-24, 14:29 
Это уже даже не важно для GL. Gitlab писали в угоду коньюктуре, в стиле "что вижу, то пою", не доделывая части и переходя к новым.

Получилось изделие - тормозное, сбойное, без гибкости, ожидаемо уязвимое. Его так писали.

А остальное... Ну, посмотрите на GL... Чё... У людей мотивы древние и с тех пор не менялись.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру