URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 137179
[ Назад ]
Исходное сообщение
"Уязвимость в платформе совместной разработки Gogs, позволяющая выполнить код на сервере"
Отправлено opennews , 25-Июн-25 10:51 
В платформе совместной разработки Gogs выявлена уязвимость, которой присвоен  критический уровень опасности (10 из 10). Проблема является следствием неполного исправления уязвимости CVE-2024-39931, раскрытой в декабре. Уязвимость  позволяет непривилегированному пользователю Gogs изменить код других пользователей сервиса, а также выполнить произвольные команды на сервере с правами пользователя, указанного через параметр RUN_USER в конфигурации Gogs. Уязвимость устранена в обновлении Gogs 0.13.3...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63460

Содержание
Сообщения в этом обсуждении
"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено Кошкажена , 25-Июн-25 10:51 
Главное, что Forgejo не затрагивает.
"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено penetrator , 25-Июн-25 13:10 
может пока еще не нашли?

теперь кстати не только на гитлаб гнать будут

"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено Аноним , 25-Июн-25 15:52 
Все кто надо давно сидят на fossil.
"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено Аноним , 25-Июн-25 19:02 
> Все кто надо давно сидят на fossil.

Т.е. целый аноним - который сам с собой комитами перекидывается? :)

"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено _ , 25-Июн-25 19:08 
Имя сестра! Имя!
Насколько я не в курсе - на нём SQLite (ну ещё бы! ;-) ) ... и всё ...
"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено penetrator , 25-Июн-25 20:52 
> Все кто надо давно сидят на fossil.

не знаю, что за оно

у меня выдает

Fossil US - The Official Site for Fossil Watches, Handbags, Jewelry ...

"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено нах. , 25-Июн-25 22:19 
эксперт, спешите видеть!
"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено penetrator , 27-Июн-25 18:46 
> эксперт, спешите видеть!

это говорит о "популярности" этой хрени

попробуй в поиск вбить git )))

"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено нах. , 28-Июн-25 14:13 
>> эксперт, спешите видеть!
> это говорит о "популярности" этой хрени
> попробуй в поиск вбить git )))

и зачем мне опять реклама пластиковых окон? Я ее уже видел.
(к тому же этот поиск наверняка вручную подкручен - как обычно делают поисковики для слов, которые их владельцы считают нужными-важными. Что вовсе не эквивалент общечеловеческой ценности.)

"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено Аноним , 26-Июн-25 12:15 
> не знаю, что за оно

Ископаемые же, ну :)

"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено Ося Бендер , 25-Июн-25 11:08 
Это, где все изменения принимаются одним самым главным? Ну дык, результат очевиден, получите, распишитесь.
"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено пох. , 25-Июн-25 11:40 
с этого места поподробнее  - где это у вас изменения принимаются стаей обезьян? Я уже бегу к ним со своими патчами. (педо6иржпг)
"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено Самый Лучший Гусь , 25-Июн-25 13:09 
Стая обезьян по определению лучше чем один даже очень большой обезьян
"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено пох. , 25-Июн-25 13:18 
тебе просто повезло не бывать в тех краях где можно встретить стаю обезьян

"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено Аноним , 25-Июн-25 13:37 
> Стая обезьян по определению лучше чем один даже очень большой обезьян

А если им еще гранату дать - шоу становится значительно интереснее. Главное не забыть вовремя отойти на безопасную дистанцию.

"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено Смузихлеб забывший пароль , 25-Июн-25 13:39 
Если обезьян более одной, то, вне зависимости от изначальной проблемы, заранее понятно, что всё кончится взаимным закидыванием чем-то мягким и коричневым

А не коллективным пин.. порицанием одного, даже большого, обезьяна

"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено User , 25-Июн-25 12:07 
Третьего дня тут над gitlab'ом растыкали, рассказывали, что всё дело в рубях, которые, разумеется - не для сложных проектов.
Ну чо - показали, КАК НАДО, молодцы!
"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено пох. , 25-Июн-25 13:19 
> Третьего дня тут над gitlab'ом растыкали, рассказывали, что всё дело в рубях,
> которые, разумеется - не для сложных проектов.
> Ну чо - показали, КАК НАДО, молодцы!

ну просто отметь в методичке что игого - тоже не для сложных проектов (кстати, это даже отчасти правда).

То ли дело вот - хруст!


"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено User , 25-Июн-25 13:53 
>> Третьего дня тут над gitlab'ом растыкали, рассказывали, что всё дело в рубях,
>> которые, разумеется - не для сложных проектов.
>> Ну чо - показали, КАК НАДО, молодцы!
> ну просто отметь в методичке что игого - тоже не для сложных
> проектов (кстати, это даже отчасти правда).
> То ли дело вот - хруст!

Нет реализации - нет проблем, да. В описаниях вида:
"Иногда, глядя с крыльца на двор и на пруд, говорил он о том, как бы хорошо было, если бы вдруг от дома провести подземный ход или чрез пруд выстроить каменный мост, на котором бы были по обеим сторонам лавки, и чтобы в них сидели купцы и продавали разные мелкие товары, нужные для крестьян. При этом глаза его делались чрезвычайно сладкими и лицо принимало самое довольное выражение;"
уязвимости понаделать затруднительно...

"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено Аноним , 25-Июн-25 12:11 
Тут говорили, что Go это тоже безопасТно.
"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено Самый Лучший Гусь , 25-Июн-25 13:10 
В среднем програмы на Go действительно безопастнее. Язык сам по себе даёт где то на 40% меньше возможностей выстрелить в ногу
"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено EMail , 25-Июн-25 13:28 
Дома сидеть в среднем тоже безопаснее, чем на улицу выходить. На тротуаре - чем на дороге. На дороге - чем на войне. Нужно всех добровольно-принудительно посадить в индивидуальные свинцово-титановые капсулы, зарытые глубоко под землёй в бункерах. Там будут видосики и игрульки с супер-дупер-фул-эйчди на самых безопасных ОС в мире. Приносить еду и уносить отходы жизнедеятельности будут роботы. Решения тоже будут принимать роботы. Очень безопасно.
"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено Самый Лучший Гусь , 25-Июн-25 13:31 
> Дома сидеть в среднем тоже безопаснее, чем на улицу выходить. На тротуаре
> - чем на дороге. На дороге - чем на войне. Нужно
> всех добровольно-принудительно посадить в индивидуальные свинцово-титановые капсулы,
> зарытые глубоко под землёй в бункерах. Там будут видосики и игрульки
> с супер-дупер-фул-эйчди на самых безопасных ОС в мире. Приносить еду и
> уносить отходы жизнедеятельности будут роботы. Решения тоже будут принимать роботы. Очень
> безопасно.

Для этого надо всем дружно подключатся к программе Rosetta@home и вычислять протеины

"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено Аноним , 25-Июн-25 13:49 
Хотя, на самом деле, там хз что в качестве задания подсовывают.
"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено Аноним , 25-Июн-25 13:46 
Погодите-ка, да это же The Matrix!
"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено пох. , 25-Июн-25 15:10 
> Погодите-ка, да это же The Matrix!

matrix это ж фантастика. А на деле роботам быстро надоест выносить за тобой горшок, из игрушек оставят тетрис, и только тем кто педали крутит хорошо и быстро.

А капсула изнутри-то не открывается, так что будешь крутить.

"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено Самый Лучший Гусь , 25-Июн-25 15:55 
Роботы за халявную энергию будут и горошок выносить и даже массаж ушей делать. Другое дело что это нарушает фундаментальные свободы человека. Фильм то про это
"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено пох. , 25-Июн-25 16:17 
зачем им? Они мгновенно оптимизируют процесс, подключив тебе, батарейка кожанная, электрод к заднице.

Фильм про то что (сказочные) роботы оказались добрыми, и человеков правда зачем-то стали ублажать, поскольку другой цели в жизни не нашли. А человеки предпочитают хрючевом в грязи давиться но побороться за шв@6одку. (ну и по дороге других человеков поубивать немного, роботы-то бессмертны, как оказалось, им пофигу)

"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено 12yoexpert , 25-Июн-25 17:09 
> matrix это ж фантастика

это твоя реальность

"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено Аноним , 25-Июн-25 21:09 
>Язык сам по себе даёт где то на 40% меньше возможностей
"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено Аноним , 25-Июн-25 13:40 
Так за границы буфера никто и не выходил. А то что специально внедрено отверстие для китайских служб это от языка не зависит.
"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено Аноним , 25-Июн-25 17:02 
Это не важно - главное говны на вентилятор накинуть.
"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено OpenEcho , 25-Июн-25 18:22 
> Тут говорили, что Go это тоже безопасТно.

Безопастно только там, - где много бьют и сильно ограничивают за любые косяки

"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено Аноним , 26-Июн-25 12:16 
> Безопастно только там, - где много бьют и сильно ограничивают за любые косяки

Т.е. самые безопасные места на планете это концлагери и тюрьмы строгого режима. Оок!

"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено Аноним , 25-Июн-25 13:39 
Главный форк это Gitea, а не Forgejo. И про главный форк ни слова. Ясно понятно, вот так и используй продукт от китайского разработчика.
"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено Аноним , 25-Июн-25 15:36 
что значит “главный” форк? кто это определяет и главное зачем?
"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено Аноним , 25-Июн-25 15:43 
Массовый потребитель. Чем больше установок тем главнее.
"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено Аноним , 25-Июн-25 17:03 
Не так. У кого больше денего у того и главный форк. А то что миллионы людей ставят так просто тестируют.
"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено 12yoexpert , 25-Июн-25 17:10 
а количество установок ты сам считал? или ты про звёздочки на гитхабе
"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено Аноним , 25-Июн-25 17:34 
Давно заметил тенденцию - во всем что имеет вебморду находят критические уязвимости. Намного чаще чем в софте, использующем консольный интерфейс.
Да и в принципе, если прикинуть - больше всего уязвимостей в вебне всякой.
"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено OpenEcho , 25-Июн-25 18:24 
А ничего что вебня торчит мордой на весь мир в отличии от консольных прог и естесвенно занчительно больше привлекательна для взлома?
"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено _ , 25-Июн-25 19:15 
Чёйта?! Все эти *hub-ы вполне себе ssh доступ предоставляют.
"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено нах. , 25-Июн-25 19:37 
с кастированным сервером (как раз дабы чего не вышло) и только и исключительно к командам git.

Поуправлять проектом через него - низзя, вот тебе нескучный рест апи.

"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено 12yoexpert , 25-Июн-25 20:36 
делаешь git init --bare и не дуришь людям головы
"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено Аноним , 26-Июн-25 12:32 
> с кастированным сервером (как раз дабы чего не вышло) и только и исключительно к командам git.
> Поуправлять проектом через него - низзя, вот тебе нескучный рест апи.

А чем ты там управлять собрался? Реально 90% "управления проетом" это git push (--force).

"Уязвимость в платформе совместной разработки Gogs, позволяющ..."
Отправлено OpenEcho , 25-Июн-25 22:58 
> Чёйта?! Все эти *hub-ы вполне себе ssh доступ предоставляют.

И в каком слове из "во всем что имеет вебморду" подставить SSH ???
И с каких это пор "веморды" ВСЕ  имеют *hub и тем более ssh ?