OpenForum RSS: Критическая уязвимость в GitLab, позволяющая запустить pipeline-работы под другим пользователем https://www.opennet.ru/openforum/vsluhforumID3/131557.html Опубликованы корректирующие обновления платформы для организации совместной разработки - GitLab 16.3.4 и 16.2.7 (Community Edition и Enterprise Edition), в которых устранена критическая уязвимость (CVE-2023-4998), позволяющая запустить работы в конвейере непрерывной интеграции (pipeline jobs) под произвольным пользователем через применение плановых политик сканирования безопасности. Выполнение своей работы в контексте другого пользователя позволяет атакующему получить доступ к внутренним репозиториям и закрытым проектам этого пользователя...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59782<br> Критическая уязвимость в GitLab, позволяющая запустить pipel... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/131557.html#8 Sun, 24 Sep 2023 14:07:35 GMT А нет ничего живого попроще, чтоб на пыхе/марии крутилось с гитом?))<br> Критическая уязвимость в GitLab, позволяющая запустить pipel... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/131557.html#7 Wed, 20 Sep 2023 19:00:25 GMT &gt;&gt; плановых политик сканирования безопасности<br>&gt; не реализовано, это enterprise feature.<br><br>Нормальная энтерпрайзная фича. Просканировали безопасность. Оказалось - FAIL. При том - сразу в сканере безопасности. Шикарно.<br> Критическая уязвимость в GitLab, позволяющая запустить pipel... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/131557.html#6 Wed, 20 Sep 2023 18:59:11 GMT &gt; является вариацией ранее исправленной похожей проблемы CVE-2023-3932.<br><br>Только бледнолицый^W ну или какой там раджа насреддин может наступить на одни и те же грабли дважды!<br> Критическая уязвимость в GitLab, позволяющая запустить pipel... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/131557.html#5 Wed, 20 Sep 2023 10:30:30 GMT &gt; у которых руки не доходят вовремя обновляться, всегда найдётся достаточно<br><br>Там сейчас модальное окно на каждое открытие гитлаба - "СРОЧНО ОБНОВИСЬ! РЕПОЗИТОРИИ В ОПАСНОСТИ!"<br> Критическая уязвимость в GitLab, позволяющая запустить pipel... (Sw00p aka Jerom) https://www.opennet.ru/openforum/vsluhforumID3/131557.html#4 Wed, 20 Sep 2023 03:05:13 GMT &gt;у которых руки не доходят вовремя обновляться<br>&gt;через применение плановых политик сканирования безопасности.<br><br>ждемс когда будет бага "через плановое обновление системы"<br> Критическая уязвимость в GitLab, позволяющая запустить pipel... (YetAnotherOnanym) https://www.opennet.ru/openforum/vsluhforumID3/131557.html#3 Tue, 19 Sep 2023 23:51:47 GMT Терпение, Вилли, терпение. Месяц - это не так уж много, а затраханных начальством админов, у которых руки не доходят вовремя обновляться, всегда найдётся достаточно.<br> Критическая уязвимость в GitLab, позволяющая запустить pipel... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/131557.html#2 Tue, 19 Sep 2023 20:52:15 GMT &gt; Подробности эксплуатации будут опубликованы через месяц после публикации обновления<br><br>на самом интересно месте...<br> Критическая уязвимость в GitLab, позволяющая запустить pipel... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/131557.html#1 Tue, 19 Sep 2023 20:50:34 GMT &gt; Community Edition и Enterprise Edition<br><br>Нет. В community<br>&gt; плановых политик сканирования безопасности<br><br>не реализовано, это enterprise feature.<br>