URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 126889
[ Назад ]
Исходное сообщение
"Уязвимость в GitLab, позволяющая получить доступ к токенам Runner"
Отправлено opennews , 27-Фев-22 10:01 
В корректирующих обновлениях платформы для организации совместной разработки GitLab 14.8.2, 14.7.4 и 14.6.5 устранена критическая уязвимость (CVE-2022-0735), позволяющая неавторизированному пользователю извлечь токены регистрации в GitLab Runner, применяемом для организации вызова обработчиков при сборке кода проекта в системе непрерывной интеграции.  Детали пока не приводятся, упоминается лишь то, что проблема вызвана утечкой информации при использовании команд Quick Actions...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56768

Содержание
Сообщения в этом обсуждении
"Уязвимость в GitLab, позволяющая получить доступ к токенам R..."
Отправлено Аноним , 27-Фев-22 21:48 
Что-то у них явно не то с архитектурой раз постоянно всплывают дырищи даже авторизации не требующие =\
"Уязвимость в GitLab, позволяющая получить доступ к токенам R..."
Отправлено Анто Нимно , 28-Фев-22 00:35 
А помотри историю развития условий запуска джобы. Начали одно, не доделали до конца, сделали другое. В итоге и то и то до обычного "if с регулярками" нормально недотягивает, реализация выглядит сумбуром мысли в спешке.

Ну и дальше в нём всё остальное так же.

Но зато в Омнибусе инсталлировал и сразу можно девить и ляпать. В этом есть, безусловно, притягательность... порока.

Попытки какие-то притензий к заплатившим им за работу денег...

Такой продукт - привлекательно, но некрасиво.

"Уязвимость в GitLab, позволяющая получить доступ к токенам R..."
Отправлено Анто Нимно , 28-Фев-22 00:31 
GitLab - фич много, красоты нет.

Жёстко навязанный, неменяемый процесс.