forum.opennet.ru

"Уязвимость в GitLab, позволяющая записать файлы в произвольный каталог на сервере"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Доступны два режима работы форума: "Раскрыть нити" и "Свернуть нити".

"Уязвимость в GitLab, позволяющая записать файлы в произвольный каталог на сервере"	+/–
Сообщение от opennews (?), 26-Янв-24, 10:06
Опубликованы корректирующие обновления платформы для организации совместной разработки - GitLab 16.8.1, 16.7.4, 16.6.6 и 16.5.8, в которых устранены 5 уязвимостей. Одной из проблем (CVE-2024-0402), которая проявляется начиная с выпуска GitLab 16.0, присвоен критический уровень опасности. Уязвимость позволяет аутентифицированному пользователю записать файлы в любой каталог на сервере, насколько это позволяют права доступа, под которыми выполняется web-интерфейс GitLab... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=60498
Ответить \| Правка \| Cообщить модератору

Оглавление

Уязвимость в GitLab, позволяющая записать файлы в произвольный каталог на сервере, opennews, 26-Янв-24, 10:06 [смотреть все]

Tor Project просто молодцы, что перешли на это заведомое рeшето , Адмирал Майк Роджерс, 26-Янв-24, 10:06 (1) //
- Критикуешь предлагай Какие альтернативы , scriptkiddis, 26-Янв-24, 15:48 (22) //
  - trac, который был до перехода на GitLab , Аноним, 26-Янв-24, 16:15 (26) //
    - Который в стагнации уже очень давно , jkkj, 27-Янв-24, 01:54 (37)
  - Вообще непонятно, почему многие когда-то туда ломанулись Gitea же намного лучше, Аноним, 26-Янв-24, 19:15 (31)
  - внизапна просто git , лютый жабби...., 26-Янв-24, 20:11 (32)
  - Gitea или как там ее То что используют codeberg и notabug В цать раз менее мон, Аноним, 26-Янв-24, 20:52 (33)
Гениально Что ни день - то патчи продуктов всё лучше и лучше, Бывалый смузихлёб, 26-Янв-24, 10:16 (2) //
- это же классика NSFW контент далее data json_decode data if is_null , Аноним, 26-Янв-24, 10:31 (5) //
  - что за мерзкий язык похожий на JS, и почему там не или , penetrator, 26-Янв-24, 12:34 (13) //
    - Рядом, это пыха А почему И , потому что до сих пор в пыхе да и в js null - , Аноним, 26-Янв-24, 12:53 (14)
      - Стоит отметить, что json_decode поддерживает флаг JSON_THROW_ON_ERROR начиная гд, Аноним, 26-Янв-24, 15:50 (23)
      - А та байда на ruby, чтоли, накорябана При чем тут пыха то вообще , Аноним, 26-Янв-24, 20:54 (34)
        
        Это бы ответ на вопрос про мерзкий язык, похожий на js На руби не пишу, но, суд, Аноним, 26-Янв-24, 22:39 (36)
      - ОК, допустим, мы такие а вдруг распарсит без ошибок и вернет нул из json_decode,, penetrator, 28-Янв-24, 04:29 (41)
        
        не, все так, Аноним, 28-Янв-24, 14:19 (42)
  - То есть вторая часть условия никогда не сработает, потому что json_last_error_ms, qwe, 27-Янв-24, 02:22 (38) //
    - Yep, лоханулся Хорошо что это не стек отсюда не скопируют , Аноним, 27-Янв-24, 22:22 (40)
- Это вообще жесть А проверить строку на левые юникод символы это типо слишком сло, Аноньимъ, 26-Янв-24, 19:05 (30)
- Эти упражнения с юникодом будут вечны , Аноним, 27-Янв-24, 11:33 (39)
Надо YAML- JSON- XML, так ещё вероятнее обнаружение некорректных конструкций Та, Аноним, 26-Янв-24, 11:38 (8) //
- У XML хоть DTD есть , anonymous, 26-Янв-24, 12:07 (10) //
  - Вот бы люди изобрели json schema , hshhhhh, 26-Янв-24, 14:46 (19)
  - У JSON хоть JSON Schema есть, Аноним, 26-Янв-24, 14:56 (20) //
    - 8230 но её никто не использует , Аноним, 26-Янв-24, 18:53 (29)
То есть, ни подобрать с самого начала, ни перейти сейчас на нормальную либу для , YetAnotherOnanym, 26-Янв-24, 12:06 (9) //
- Ямл и нормално в одном предложении , anonymous, 26-Янв-24, 12:08 (11)
А в чём уязвимость-то Отдай свои ценные файлы гитлабу бесплатно , anonymous, 26-Янв-24, 13:28 (16)
бесполезная уязвимость, Пряник, 26-Янв-24, 15:06 (21) //
- Получение доступа к любому файлу в var opt gitlab такое себе , scriptkiddis, 26-Янв-24, 15:51 (24)
Это какое-то зумерское исправление Я сейчас пытаюсь осознать, что зумеры чтоб, Аноним, 26-Янв-24, 16:09 (25) //
- К сожалению со сравнением строк тоже не все хорошо Вон недавно в GNU split не см, Аноним, 26-Янв-24, 17:02 (27)
- Это тебе еще повезло А то могут и при помощи камеры на мобильнике Ну подумаешь, Аноним, 26-Янв-24, 20:55 (35)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру