forum.opennet.ru - "Уязвимость в GitLab 16, позволяющая прочитать файлы на сервере" (30)

"Уязвимость в GitLab 16, позволяющая прочитать файлы на сервере"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в GitLab 16, позволяющая прочитать файлы на сервере"	+/–
Сообщение от opennews (??), 24-Май-23, 14:02
В представленном 22 мая выпуске платформы для организации совместной разработки GitLab 16.0 выявлена критическая уязвимость (CVE-2023-2825), позволяющая неаутентифицированному пользователю получить содержимое любого файла на сервере, насколько это позволяют права доступа процесса, обрабатывающего запросы. Уязвимости присвоен наивысший уровень опасности (10 из 10). Проблема устранена в обновлении GitLab 16.0.1 и затрагивает только ветку 16.0. Информация об уязвимости передана в GitLab в рамках действующей на HackerOne программы выплаты вознаграждений за обнаружение уязвимостей... Подробнее: https://www.opennet.me/opennews/art.shtml?num=59190
Ответить \| Правка \| Cообщить модератору

Оглавление

Прям sendmail какой-то, Аноним (2), 14:02 , 24-Май-23, (2) –2

При этом виноват во всё конечно же Ruby , Аноним (5), 14:15 , 24-Май-23, (5) –1

Не, не Руби, а возможность использовать именно таким способом Использовали бы и, Аноним (7), 14:20 , 24-Май-23, (7) +1

Хорошо что ты нам это рассказал, также как и разработчикам Gitlab Твое мнение у, Аноним (30), 22:48 , 24-Май-23, (30)

Скрыто модератором, Аноним (-), 17:03 , 24-Май-23, (17)

Дружно смотрим код обновления GitLab 16 0 1 и начинаем читать файлы конкурентов , Аноним (3), 14:08 , 24-Май-23, (3)

А кусок кода куда смотреть не зацитируешь Я бы парочке ну не то чтобы конкурент, Аноним (-), 20:16 , 24-Май-23, (28)

М-м-м-м, классика Сколько их таких было уже И даже 171 поблагодарить 187 з, Аноним (15), 16:08 , 24-Май-23, (15)

Что предлагаешь вмесоо них , scriptkiddis (?), 16:31 , 24-Май-23, (16) +1

Я предлагаю отказаться от механизма относительных путей в принципе Но это слома, Аноним (15), 17:50 , 24-Май-23, (20) –1

В Айфоне нет понятия фс и пути в общесистемном понимании для обычных пользовател, Аноним (5), 18:08 , 24-Май-23, (23) –1

Ты просто не видел эмулятор терминала с шеллом на Ойподе , Аноним (7), 23:35 , 24-Май-23, (31)
А ядро XNU про это все в курсе С андроидом все аналогично, кстати А насчет не , Аноним (-), 00:00 , 29-Май-23, (41)

Я уже писал, что все дело в лени В том, чтобы не кушать лишнюю память и не стро, Аноним (19), 17:46 , 24-Май-23, (19) +1

Его вообще не надо никак обрабатывать, лол Ошибку в ответ пошли нефига относите, Аноним (5), 18:07 , 24-Май-23, (22) +1
Регэкспы , обрабатывать самому Вот так и пишется столько дырявого ПОman 3 r, Аноним (39), 14:08 , 25-Май-23, (39) –1

Чет я не очень понял про опасность 10 из 10 и про насколько это позволяют права, совсем не аноним (?), 17:51 , 24-Май-23, (21)

10 из 10 -- потому что гитлаб предоставил максимально возможные права, которые с, Аноним (24), 18:25 , 24-Май-23, (24)

на всех компах в локалке , ыы (?), 20:04 , 24-Май-23, (26) +1

все SSH ключи собрал , Аноним (7), 23:36 , 24-Май-23, (32) –1

вопрос икзпердам почему Gitea не взлетел , ДМИТРИЙ НАГИЕВ (?), 19:52 , 24-Май-23, (25)

embedded CI CD, Аноним (27), 20:09 , 24-Май-23, (27)

Вероятно Вместо универсальной подключаемости ко всему коннекторы и т д был сд, Аноним (37), 09:36 , 25-Май-23, (37)

Не на расте , Sw00p aka Jerom (?), 21:28 , 24-Май-23, (29)
Не пробовали рекламировать, видимо , Аноним (7), 23:40 , 24-Май-23, (33)
А почему Мелкомягкие успешны Тоже ведь , Аноним (7), 23:42 , 24-Май-23, (34)
Ничего хорошего начинаться с трех букв git в принципе не может , Аноним (35), 00:00 , 25-Май-23, (35) –2

что предлагаешь использовать , anonymous (??), 08:31 , 25-Май-23, (36) +1

ртуть, Аноним (40), 01:37 , 26-Май-23, (40) –1

Ну просто глядя на их веб интерфейс, чувство, что под капотом тот же кавардак Сн, Аноним (37), 09:40 , 25-Май-23, (38) +1

Сообщения [Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 24-Май-23, 14:02 –2 +/–

Прям sendmail какой-то

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

3. Сообщение от Аноним (3), 24-Май-23, 14:08 +/–

Дружно смотрим код обновления GitLab 16.0.1 и начинаем читать файлы конкурентов.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28

5. Сообщение от Аноним (5), 24-Май-23, 14:15 –1 +/–

При этом виноват во всё конечно же Ruby.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #7, #17

7. Сообщение от Аноним (7), 24-Май-23, 14:20 +1 +/–

Не, не Руби, а возможность использовать именно таким способом. Использовали бы иначе, так бы не было.
Увы, сложную вещь нельзя простенько накидать, даже если верится в доступность простоты.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #30

15. Сообщение от Аноним (15), 24-Май-23, 16:08 +/–

> уязвимость вызвана ошибкой проверки файловых путей, позволяющей выйти за пределы базового каталога
М-м-м-м, классика. Сколько их таких было уже. И даже «поблагодарить» за это некого, относительные пути настолько прочно въелись в сознание, что выкорчевать этот грязный хак уже, пожалуй, невозможно.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16, #19

16. Сообщение от scriptkiddis (?), 24-Май-23, 16:31 +1 +/–

Что предлагаешь вмесоо них?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #20

17. Сообщение от Аноним (-), 24-Май-23, 17:03 +/–

Если на ЯП пишут только хайпующие вебмакаки вместо програмеров, наверное он в этом все же виноват.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

19. Сообщение от Аноним (19), 24-Май-23, 17:46 +1 +/–

Я уже писал, что все дело в лени. В том, чтобы не кушать лишнюю память и не строить свое виртуальное дерево каталогов и обрабатывать его самому своими силами. Проще ведь просто передать все напрямую в ОСь и не парится. Ну там любимых регэкспов по дороге накидать, чтобы типа фильтровать то, что нельзя. А надо так. Вот эти ".." обрабатывать самому. А в ОСь передавать уже готовый абсолютный путь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #22, #39

20. Сообщение от Аноним (15), 24-Май-23, 17:50 –1 +/–

Я предлагаю отказаться от механизма относительных путей в принципе. Но это сломает слишком много мозгов. Так что остаётся только уповать на то, что программист не забудет про нормализацию путей.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #23

21. Сообщение от совсем не аноним (?), 24-Май-23, 17:51 +/–

Чет я не очень понял про опасность 10 из 10 и про "насколько это позволяют права доступа процесса, обрабатывающего запросы".
То есть максимум что можно получить это доступ к файлам которые доступны системному юзеру gitlab что резко сужает вектор атаки и вообще величину проблемы. задеть могло только васянов которые собирали из исходников под рутом получается, но они же сами знали на что шли когда так делали, не?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24

22. Сообщение от Аноним (5), 24-Май-23, 18:07 +1 +/–

Его вообще не надо никак обрабатывать, лол. Ошибку в ответ пошли нефига относительные пути присылать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

23. Сообщение от Аноним (5), 24-Май-23, 18:08 –1 +/–

В Айфоне нет понятия фс и пути в общесистемном понимании для обычных пользователей. Всё норм. Никто ничего не сломал.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #31, #41

24. Сообщение от Аноним (24), 24-Май-23, 18:25 +/–

10 из 10 -- потому что гитлаб предоставил максимально возможные права, которые смог. Или по-твоему 10 из 10 -- это когда гитлаб каким-то чудом выбирается из контейнера, получает рута в хосте, потом вылезает из VM, в котором крутился хост, и там тоже получает рута, потом взламывает ядро и выполняет код на его уровне?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #26

25. Сообщение от ДМИТРИЙ НАГИЕВ (?), 24-Май-23, 19:52 +/–

вопрос икзпердам: почему Gitea не взлетел?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27, #29, #33, #34, #35

26. Сообщение от ыы (?), 24-Май-23, 20:04 +1 +/–

...на всех компах в локалке....

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #32

27. Сообщение от Аноним (27), 24-Май-23, 20:09 +/–

embedded CI/CD

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #37

28. Сообщение от Аноним (-), 24-Май-23, 20:16 +/–

А кусок кода куда смотреть не зацитируешь? Я бы парочке ну не то чтобы конкурентов, но недружественных субъектов задниц бы надрал по первое число. Иногда просто хочется "взять и у...ть" :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

29. Сообщение от Sw00p aka Jerom (?), 24-Май-23, 21:28 +/–

Не на расте:)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

30. Сообщение от Аноним (30), 24-Май-23, 22:48 +/–

Хорошо что ты нам это рассказал, также как и разработчикам Gitlab. Твое мнение учтут

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

31. Сообщение от Аноним (7), 24-Май-23, 23:35 +/–

Ты просто не видел эмулятор терминала с шеллом на Ойподе.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

32. Сообщение от Аноним (7), 24-Май-23, 23:36 –1 +/–

... все SSH ключи собрал.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

33. Сообщение от Аноним (7), 24-Май-23, 23:40 +/–

> почему Gitea не взлетел?
Не пробовали рекламировать, видимо.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

34. Сообщение от Аноним (7), 24-Май-23, 23:42 +/–

А почему Мелкомягкие успешны... Тоже ведь...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

35. Сообщение от Аноним (35), 25-Май-23, 00:00 –2 +/–

Ничего хорошего начинаться с трех букв git.. в принципе не может.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #36

36. Сообщение от anonymous (??), 25-Май-23, 08:31 +1 +/–

что предлагаешь использовать?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #40

37. Сообщение от Аноним (37), 25-Май-23, 09:36 +/–

Вероятно.
Вместо универсальной подключаемости ко всему (коннекторы и т.д.) был сделан комбайн. А сил столько, сколько у Атласиана, например, не было. Всюду одновременно не успели?
У других Гит отделён от code review и CI/CD сервиса. Почему-то. Да и написано было на Яве, у других.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

38. Сообщение от Аноним (37), 25-Май-23, 09:40 +1 +/–

Ну просто глядя на их веб интерфейс, чувство, что под капотом тот же кавардак.
Сначала ты успеваешь увидеть: ваш билд/мёрж упал.
И тут оно такое: а, нет, отбой, нормально бежит билд.
Месиво костылей, без возможности настроить/приспособить как нужно.

Ответить | Правка | Наверх | Cообщить модератору

39. Сообщение от Аноним (39), 25-Май-23, 14:08 –1 +/–

"Регэкспы", "обрабатывать самому"...
Вот так и пишется столько дырявого ПО
man 3 realpath

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

40. Сообщение от Аноним (40), 26-Май-23, 01:37 –1 +/–

ртуть

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

41. Сообщение от Аноним (-), 29-Май-23, 00:00 +/–

А ядро XNU про это все в курсе? С андроидом все аналогично, кстати. А насчет не сломал - помнится оно ломалось аж от смсок с хитрыми символами, чего уж там.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. Сообщение от Аноним (2), 24-Май-23, 14:02	–2 +/–
Прям sendmail какой-то
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #5

3. Сообщение от Аноним (3), 24-Май-23, 14:08	+/–
Дружно смотрим код обновления GitLab 16.0.1 и начинаем читать файлы конкурентов.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #28

5. Сообщение от Аноним (5), 24-Май-23, 14:15	–1 +/–
При этом виноват во всё конечно же Ruby.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #7, #17

7. Сообщение от Аноним (7), 24-Май-23, 14:20	+1 +/–
Не, не Руби, а возможность использовать именно таким способом. Использовали бы иначе, так бы не было. Увы, сложную вещь нельзя простенько накидать, даже если верится в доступность простоты.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #30

15. Сообщение от Аноним (15), 24-Май-23, 16:08	+/–
> уязвимость вызвана ошибкой проверки файловых путей, позволяющей выйти за пределы базового каталога М-м-м-м, классика. Сколько их таких было уже. И даже «поблагодарить» за это некого, относительные пути настолько прочно въелись в сознание, что выкорчевать этот грязный хак уже, пожалуй, невозможно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #16, #19

16. Сообщение от scriptkiddis (?), 24-Май-23, 16:31	+1 +/–
Что предлагаешь вмесоо них?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15 Ответы: #20

17. Сообщение от Аноним (-), 24-Май-23, 17:03	+/–
Если на ЯП пишут только хайпующие вебмакаки вместо програмеров, наверное он в этом все же виноват.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

19. Сообщение от Аноним (19), 24-Май-23, 17:46	+1 +/–
Я уже писал, что все дело в лени. В том, чтобы не кушать лишнюю память и не строить свое виртуальное дерево каталогов и обрабатывать его самому своими силами. Проще ведь просто передать все напрямую в ОСь и не парится. Ну там любимых регэкспов по дороге накидать, чтобы типа фильтровать то, что нельзя. А надо так. Вот эти ".." обрабатывать самому. А в ОСь передавать уже готовый абсолютный путь.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15 Ответы: #22, #39

20. Сообщение от Аноним (15), 24-Май-23, 17:50	–1 +/–
Я предлагаю отказаться от механизма относительных путей в принципе. Но это сломает слишком много мозгов. Так что остаётся только уповать на то, что программист не забудет про нормализацию путей.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16 Ответы: #23

21. Сообщение от совсем не аноним (?), 24-Май-23, 17:51	+/–
Чет я не очень понял про опасность 10 из 10 и про "насколько это позволяют права доступа процесса, обрабатывающего запросы". То есть максимум что можно получить это доступ к файлам которые доступны системному юзеру gitlab что резко сужает вектор атаки и вообще величину проблемы. задеть могло только васянов которые собирали из исходников под рутом получается, но они же сами знали на что шли когда так делали, не?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #24

22. Сообщение от Аноним (5), 24-Май-23, 18:07	+1 +/–
Его вообще не надо никак обрабатывать, лол. Ошибку в ответ пошли нефига относительные пути присылать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19

23. Сообщение от Аноним (5), 24-Май-23, 18:08	–1 +/–
В Айфоне нет понятия фс и пути в общесистемном понимании для обычных пользователей. Всё норм. Никто ничего не сломал.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20 Ответы: #31, #41

24. Сообщение от Аноним (24), 24-Май-23, 18:25	+/–
10 из 10 -- потому что гитлаб предоставил максимально возможные права, которые смог. Или по-твоему 10 из 10 -- это когда гитлаб каким-то чудом выбирается из контейнера, получает рута в хосте, потом вылезает из VM, в котором крутился хост, и там тоже получает рута, потом взламывает ядро и выполняет код на его уровне?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21 Ответы: #26

25. Сообщение от ДМИТРИЙ НАГИЕВ (?), 24-Май-23, 19:52	+/–
вопрос икзпердам: почему Gitea не взлетел?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #27, #29, #33, #34, #35

26. Сообщение от ыы (?), 24-Май-23, 20:04	+1 +/–
...на всех компах в локалке....
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24 Ответы: #32

27. Сообщение от Аноним (27), 24-Май-23, 20:09	+/–
embedded CI/CD
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25 Ответы: #37

28. Сообщение от Аноним (-), 24-Май-23, 20:16	+/–
А кусок кода куда смотреть не зацитируешь? Я бы парочке ну не то чтобы конкурентов, но недружественных субъектов задниц бы надрал по первое число. Иногда просто хочется "взять и у...ть" :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

29. Сообщение от Sw00p aka Jerom (?), 24-Май-23, 21:28	+/–
Не на расте:)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25

30. Сообщение от Аноним (30), 24-Май-23, 22:48	+/–
Хорошо что ты нам это рассказал, также как и разработчикам Gitlab. Твое мнение учтут
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7

31. Сообщение от Аноним (7), 24-Май-23, 23:35	+/–
Ты просто не видел эмулятор терминала с шеллом на Ойподе.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #23

32. Сообщение от Аноним (7), 24-Май-23, 23:36	–1 +/–
... все SSH ключи собрал.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #26

33. Сообщение от Аноним (7), 24-Май-23, 23:40	+/–
> почему Gitea не взлетел? Не пробовали рекламировать, видимо.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25

34. Сообщение от Аноним (7), 24-Май-23, 23:42	+/–
А почему Мелкомягкие успешны... Тоже ведь...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25

35. Сообщение от Аноним (35), 25-Май-23, 00:00	–2 +/–
Ничего хорошего начинаться с трех букв git.. в принципе не может.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25 Ответы: #36

36. Сообщение от anonymous (??), 25-Май-23, 08:31	+1 +/–
что предлагаешь использовать?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #35 Ответы: #40

37. Сообщение от Аноним (37), 25-Май-23, 09:36	+/–
Вероятно. Вместо универсальной подключаемости ко всему (коннекторы и т.д.) был сделан комбайн. А сил столько, сколько у Атласиана, например, не было. Всюду одновременно не успели? У других Гит отделён от code review и CI/CD сервиса. Почему-то. Да и написано было на Яве, у других.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #27

38. Сообщение от Аноним (37), 25-Май-23, 09:40	+1 +/–
Ну просто глядя на их веб интерфейс, чувство, что под капотом тот же кавардак. Сначала ты успеваешь увидеть: ваш билд/мёрж упал. И тут оно такое: а, нет, отбой, нормально бежит билд. Месиво костылей, без возможности настроить/приспособить как нужно.
Ответить \| Правка \| Наверх \| Cообщить модератору

39. Сообщение от Аноним (39), 25-Май-23, 14:08	–1 +/–
"Регэкспы", "обрабатывать самому"... Вот так и пишется столько дырявого ПО man 3 realpath
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19

40. Сообщение от Аноним (40), 26-Май-23, 01:37	–1 +/–
ртуть
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #36

41. Сообщение от Аноним (-), 29-Май-23, 00:00	+/–
А ядро XNU про это все в курсе? С андроидом все аналогично, кстати. А насчет не сломал - помнится оно ломалось аж от смсок с хитрыми символами, чего уж там.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #23