The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Захват контроля над уязвимыми серверами GitLab для вовлечения в проведение DDoS-атак"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Захват контроля над уязвимыми серверами GitLab для вовлечения в проведение DDoS-атак"  +/
Сообщение от opennews (ok), 05-Ноя-21, 23:22 
Компания GitLab предупредила пользователей об увеличении активности злоумышленников, связанной с эксплуатацией критической уязвимости CVE-2021-22205, позволяющей удалённо без прохождения аутентификации выполнить свой код на сервере, на котором используется платформа для организации совместной разработки GitLab...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56110

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  –5 +/
Сообщение от Enamel (ok), 05-Ноя-21, 23:22 
Вот поэтому я люблю ставить новые версии по мере появления
Ответить | Правка | Наверх | Cообщить модератору

4. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +3 +/
Сообщение от pashev.me (?), 05-Ноя-21, 23:24 
Бустерные версии раз в полгода. Ради общества.
Ответить | Правка | Наверх | Cообщить модератору

6. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +7 +/
Сообщение от альтернативно одаренный разработчик (?), 05-Ноя-21, 23:30 
У вас сертификат поддельный. Наш тест показал это с достоверностью 99%. Пройдите на расстрел.

Ответить | Правка | Наверх | Cообщить модератору

9. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +1 +/
Сообщение от anonymous (??), 05-Ноя-21, 23:56 
Ну да. И по полгода торчать с новой уязвимостью, пока её не пофиксят. Проверенные, фикшенные версии гораздо надёжнее.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

44. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от Аноним (44), 06-Ноя-21, 13:16 
На тот момент также была проверена.
Ответить | Правка | Наверх | Cообщить модератору

61. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от anonymous (??), 06-Ноя-21, 15:41 
> На тот момент также была проверена.

Поэтому стоило подождать ещё дольше. Использовать не вчерашнюю версию, а трёх-четырёхгодичной давности. За это время все уязвимости уже находят и вычищают. А фичи не так важны, по сравнению с безопасностью.

Ответить | Правка | Наверх | Cообщить модератору

12. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  –4 +/
Сообщение от Ковидл атеист (?), 06-Ноя-21, 01:12 
А я люблю, во-первых, не регать домен, а прописывать его в hosts.
Во-вторых, добавлять спец. токен в заголовок HTTP запроса или выставлять спец. куку с дальнейшей проверкой на нжинксе.
А таких экспертов как ты, мы после собеседования быстренько и с радостью забываем.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

21. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +4 +/
Сообщение от ПомидорИзДолины (?), 06-Ноя-21, 03:48 
Зачем вы врете. localhost в hosts уже прописан, а зарегистртровать данный домен вы бы все равно не смогли.
Ответить | Правка | Наверх | Cообщить модератору

24. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +1 +/
Сообщение от Аноним (24), 06-Ноя-21, 04:34 
Однажды найдётся тот, кто сможет, и вам всем хана.
Ответить | Правка | Наверх | Cообщить модератору

26. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  –2 +/
Сообщение от Ковидл атеист (?), 06-Ноя-21, 09:43 
Ты однажды не прошел себеседование?
Сказал, что твой hosts лежит тут: c:\windows\system32\drivers\etc\hosts ?
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

30. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от YetAnotherOnanym (ok), 06-Ноя-21, 11:01 
Я извиняюсь, а синкать этот hosts как? Не боитесь, что хост, с которого синхронизируются hosts на всех хостах, окажется скомпрометированным, и вот тогда наступит такой звездец, что описанные в статье проблемы покажутся детскими играми?
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

38. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  –1 +/
Сообщение от Ковидл атеист (?), 06-Ноя-21, 12:21 
Не надо нагонять фантастической отсебятины, попробуй дочитать до конца, то что написано после "во-вторых".
Не торопись.
Как определить, что запрос на сервис приходит от сотрудника компании, похоже, для некоторых является непосильной задачей.
Ответить | Правка | Наверх | Cообщить модератору

46. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от YetAnotherOnanym (ok), 06-Ноя-21, 13:48 
Компрометация учётной записи сотрудника? Нет, не слышали. Взлом личного ПК сотрудника? Не бывает. Твои доморощенные ухищрения могут только позабавить взломщика.
Ответить | Правка | Наверх | Cообщить модератору

55. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от шайтан (?), 06-Ноя-21, 15:10 
Это называется "с кем угодно только не со мной"
Ответить | Правка | Наверх | Cообщить модератору

56. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  –1 +/
Сообщение от Ковидл атеист (?), 06-Ноя-21, 15:11 
Т.е. ты не в состоянии осознать, что от риска невозможно избавиться совсем, а лишь уменьшить его степень?
Ты зачем эту чушь сюда пишешь, тебе не хватает внимания?
Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

68. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от YetAnotherOnanym (ok), 06-Ноя-21, 18:01 
> Ты зачем эту чушь сюда пишешь, тебе не хватает внимания?

Не надо проецировать.

Ответить | Правка | Наверх | Cообщить модератору

76. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от Ковидл атеист (?), 07-Ноя-21, 01:55 
Не надо вступать в диалог, если ты не способен донести свои мысли до собеседника.
Я не распарсил, что ты мне важное хотел сообщить.
Ответить | Правка | Наверх | Cообщить модератору

77. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от YetAnotherOnanym (ok), 07-Ноя-21, 10:48 
> Я не распарсил

Это твои проблемы.


Ответить | Правка | Наверх | Cообщить модератору

64. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +2 +/
Сообщение от пох. (?), 06-Ноя-21, 16:18 
ты свою глупость с hosts озвучивай еще на предварительном этапе - не придется собеседовать.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

65. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  –1 +/
Сообщение от Ковидл атеист (?), 06-Ноя-21, 16:35 
Чтобы кого-то собеседовать, нужно чтобы тебя сперва позвали проводить собеседование, оказали тебе доверие. Если ты еще на разобрался для чего нужен hosts файл, то шансов ноль.
Ответить | Правка | Наверх | Cообщить модератору

66. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +1 +/
Сообщение от пох. (?), 06-Ноя-21, 16:45 
Ну вот тебе оказали, а ты чужое время даром тратишь (если не нафантазировал, что больше похоже - кого админ локалхоста собеседовать-то будет). Ты бредни про хостс и свое сокровенное знание "для чего нужен" - с гордым таким пафосом - озвучивай еще когда договариваешься предварительно.
Сразу дело на лад пойдет.

P.S. а идея хорошая. Добавлю-ка я вопрос в методичку. Позволит сразу же отсекать админов локалхоста. А то я им обычно сложные вопросы задаю, а это плохо.

Ответить | Правка | Наверх | Cообщить модератору

75. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от Ковидл атеист (?), 07-Ноя-21, 01:40 
>> с гордым таким пафосом

Правка hosts это пафосно, да.
Гордо зашел в /etc.

>> Добавлю-ка я вопрос в методичку

Добавь, на опеннете пригодится хе*ней страдать.
Методичка неотъемлемый аттрибут троля, спалился.

>>  А то я им обычно сложные

Если бы, обычно ты сидишь тут постя высокоиэмоциональные малоинформативные ментальные выделения.

Ответить | Правка | Наверх | Cообщить модератору

70. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +2 +/
Сообщение от Аноним (70), 06-Ноя-21, 18:19 
Что за контора? Напиши, чтобы не ходить на собес к таким гениям.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

83. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от Антним (?), 07-Ноя-21, 23:04 
Не знал, что в секту админов локалхоста собеседования проводят….
Думал они так кучкуются…
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

3. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +8 +/
Сообщение от pashev.me (?), 05-Ноя-21, 23:23 
> Халатное отношение администраторов

Кривые руки разработчиков ни при чём.

Ответить | Правка | Наверх | Cообщить модератору

5. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +1 +/
Сообщение от альтернативно одаренный разработчик (?), 05-Ноя-21, 23:29 
Абсолютно!

И зависимости всего от всего, как и сама идея в систему для ревью кода пихать обработку jpeg не jpeg на базе первой попавшей под руку библиотечки - тоже непричем.

Это все плохие, плохие админы, не ставящие каждый день новую версию, только что из под хвоста выпавшую (ну и что что она базу похерила? Зато уязвимость исправлена! И две но...ой. ну я уже исправил же ж!)

Ответить | Правка | Наверх | Cообщить модератору

17. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от Sw00p aka Jerom (?), 06-Ноя-21, 01:48 
https://www.freebsd.org/cgi/ports.cgi?query=gitlab-ce&stype=all

бедные админы, такую кучу апдейтить :)

Ответить | Правка | Наверх | Cообщить модератору

33. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +2 +/
Сообщение от Михрютка (ok), 06-Ноя-21, 11:40 
> https://www.freebsd.org/cgi/ports.cgi?query=gitlab-ce&stype=all
> бедные админы, такую кучу апдейтить :)

модераторы забаньте ету ссылку пожалуйста она опасна для психического равновесия

случайно накликанное по ссылке:

Requires: <blablabla>rubygem-sshkey-2.0.0<blablabla>

rubygem-sshkey-2.0.0
    Generate private/public SSH keypairs using pure Ruby
    Requires: <blablabla>indexinfo-0.3.1<blablabla>

indexinfo-0.3.1
    Utility to regenerate the GNU info page index

теперь и вы это увидели. живите теперь с этим.

PS

утром увиденное на HN

Creating a simple React app with create-react-app makes us fetch an absolutely absurd amount of code, files and folders under node_modules:

Size: 138 MB (145 255 382 bytes)
Size on disk: 181 MB (190 013 440 bytes)
Contains: 35 894 Files, 5 503 Folders

тут не исправить уже ничего, Господь, жги!

Ответить | Правка | Наверх | Cообщить модератору

51. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  –1 +/
Сообщение от Растоманя (ok), 06-Ноя-21, 14:30 
А что это значит?
Ответить | Правка | Наверх | Cообщить модератору

63. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от пох. (?), 06-Ноя-21, 16:17 
зависимости всего от всего.
Правда, у bsd pkg есть особенность - показывать те, что получаются если все делать по-умолчанию, никак это не комментируя. После ручных правок конфига оно иногда резко снижает аппетит.

Но часто гораздо большего можно добиться правкой мэйкфайлов, просто повыбрасывав оттуда половину содержимого *DEPENDS
Пока у меня оставались еще фряхи в не-следовом количестве, примерно так это и делалось. Экономило терабайты траффика.

Ответить | Правка | Наверх | Cообщить модератору

52. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от Sw00p aka Jerom (?), 06-Ноя-21, 14:31 
>модераторы забаньте ету ссылку

безобидная ссылка, кошмар когда после установки сделать pkg info :)

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

19. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от Аноним (19), 06-Ноя-21, 01:58 
> на базе первой попавшей под руку библиотечки

Ну так напишите альтернативу ExifTool, с дамами и оптимизациями, охватив хотя бы графические форматы :) На безопасном Rust, конечно, бо на ржавом из под хвостов почти ничего и не вываливается - всё в головах...

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

37. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от пох. (?), 06-Ноя-21, 12:12 
альтернативу exiftool для использования в гитшлаке можно написать вот так: /bin/false
Потому что она там вообще НАХРЕН не нужна.

А если бы даже и была нужна - для того, что оно там делает - я тебе такую альтернативу напишу на shell+od.

Но макакам платят не за умение выбирать инструменты и не за умение правильно их использовать.

Ответить | Правка | Наверх | Cообщить модератору

54. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от Анто Нимно (?), 06-Ноя-21, 14:48 
> Потому что она там вообще НАХРЕН не нужна.

Вот - да.

Г-б имеет право на фанатов и существование, но как кусок софта - решение многогранное с признаками ненужного плохого. Кому неосмотрительно нравится - на здоровье. Но сам по себе содержит много, из-за чего не стал бы использовать (в т.ч. выставление ультиматумов заплатившим  пользователям) и не рекомендую подсаживаться на Г.

Ответить | Правка | Наверх | Cообщить модератору

59. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от пох. (?), 06-Ноя-21, 15:29 
хрен знает (мы не разработчики поэтому может просто слишком мелко для него плаваем) - но лично я в нем вообще не увидел причин его использовать во внутренней разработке. То есть чудище обло, озорно, стожопно и в дырьях, а полезного выхлопа около нуля.

Все попытки его использовать были в режиме "ну нам же нужна какая-то авторизация и иерархия цвета штанов для доступа к гит репам!" - разумеется, это ровно то для чего он вообще не предназначен.

А те кому надо было именно совместную работу с кодом - ревью/ci/прочую чухню для команды - те даже не рассматривают, с чего бы это...

Ответить | Правка | Наверх | Cообщить модератору

29. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от Михрютка (ok), 06-Ноя-21, 10:50 
>>>ExifTools
>>>первой попавшей под руку библиотечки

dude.

>>>Это все плохие, плохие админы, не ставящие каждый день новую версию, только что из под хвоста выпавшую (ну и что что она базу похерила? Зато уязвимость исправлена!

получи свой экземпляр RCE и радуйся безоблачной жизни дальше.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

32. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от YetAnotherOnanym (ok), 06-Ноя-21, 11:16 
> на базе первой попавшей под руку библиотечки

Можно подумать, вдумчиво отобранная библиотека гарантированно на 100% свободна от багов.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

27. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  –1 +/
Сообщение от kai3341 (ok), 06-Ноя-21, 10:41 
> Кривые руки разработчиков ни при чём.

Уязвимость то по факту в 3rd party

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

31. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +2 +/
Сообщение от Аноним (31), 06-Ноя-21, 11:09 
Но ответственность за её проявление в GitLab целиком на разработчиках GitLab, которые сумели приплести в зависимости код с низкопробной репутацией в области безопасности. Про передачу загруженных без аутентификации файлов монстру, который выбирает обработчик по заголовкам, а не расширению файла я вообще молчу.

Ответить | Правка | Наверх | Cообщить модератору

35. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от kai3341 (ok), 06-Ноя-21, 12:03 
> которые сумели приплести в зависимости код с низкопробной репутацией в области безопасности

Как должны были поступить разработчики gitlab? Предложите план действий.
Не нравится exiftool? Что использовать вместо него?


Ответить | Правка | Наверх | Cообщить модератору

36. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  –5 +/
Сообщение от пох. (?), 06-Ноя-21, 12:09 
> Как должны были поступить разработчики gitlab?

пойти вон из профессии.

> Не нравится exiftool? Что использовать вместо него?

научиться кодить или пойти вон из профессии.
exiftool писали из соображения что его к своим exif'ам применяет владелец файла. А не что его в скрипте вызывают абы для чего для любого невалидированного мусора.

Ответить | Правка | Наверх | Cообщить модератору

69. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от kai3341 (ok), 06-Ноя-21, 18:13 
> пойти вон из профессии.
> научиться кодить или пойти вон из профессии.

ясно-понятно

Ответить | Правка | Наверх | Cообщить модератору

42. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +1 +/
Сообщение от Аноним (42), 06-Ноя-21, 12:40 
>Как должны были поступить разработчики gitlab? Предложите план действий.

Как минимум сразу дропнуть нафиг запрос от хрен пойми кого, а не пытаться обрабатывать присланные им фоточки.
Даже без относительно наличия уязвимости - какого черта этот мусор вообще куда-то передается и обрабатывается? Зачем они тратят ресурсы на обработку заведомо мусорного запроса?

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

43. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от Аноним (43), 06-Ноя-21, 12:56 
мир просто еще не понял что им управляют прагматичные русские, у которых каждый угол научно обоснован
Ответить | Правка | Наверх | Cообщить модератору

74. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от Ordu (ok), 06-Ноя-21, 23:34 
>> Халатное отношение администраторов
> Кривые руки разработчиков ни при чём.

Ты не задумывался ради чего назначаются виновные? Какой в этом смысл?

Один из ответов на этот вопрос: задача вины указать на того, кому в будущем следует изменить своё поведение, дабы не повторять ситуацию. Администраторы, которые ждут, что в софте в их серверах не найдут никогда дыр -- главные кандидаты на то, чтобы менять своё поведение. Программистам тоже следует быть внимательнее, но это "следует" говорят и пытаются привести во исполнение уже чуть ли не сто лет, и до сих пор никому не удаётся. Обвиняй программистов, не обвиняй программистов -- от этого ничего не меняется. С тем же успехом ты можешь обвинять гравитацию в том, что стоило тебе только шагнуть с обрыва, как она тебя разогнала вниз и ударила больно о камни: эти обвинения не приведут к тому, что в следующий раз гравитация поступит иначе. Программисты со своей стороны сделали всё возможное: баг-репорт приняли, выкатили патч, и с тех пор уже полгода прошло.

Или ты предпочитаешь другой ответ? Может задача вины указать на того, кто будет платить за повреждения? Но разработчики GitLab написали "WITHOUT ANY WARRANTY OF ANY KIND". А значит с них все взятки гладки.

А в целом, если тебе интересен вопрос назначения вины, то глянь сюда: https://en.wikipedia.org/wiki/Proximate_and_ultimate_causation
И ещё можно сюда: https://en.wikipedia.org/wiki/Proximate_cause или сюда: https://en.wikipedia.org/wiki/Why%E2%80%93bec...

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

78. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от Sw00p aka Jerom (?), 07-Ноя-21, 11:47 
За каждое действие нужно нести ответственность, как повашему кто несет большую ответственность, обезьяна с гранатой, человек оставивший без присмотра обезьяну и гранату, или создатель гранаты, может продавец?
Ответить | Правка | Наверх | Cообщить модератору

79. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от Sw00p aka Jerom (?), 07-Ноя-21, 11:49 
мораль сей басни такова, виновный всегда найдеться, а ответственность не несет только дурак или обезьяна.
Ответить | Правка | Наверх | Cообщить модератору

7. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от Анонимemail (7), 05-Ноя-21, 23:39 
Работает - не трогай, да посоны?
Ответить | Правка | Наверх | Cообщить модератору

14. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +2 +/
Сообщение от Ковидл атеист (?), 06-Ноя-21, 01:28 
Все верно, только у адекватов, подобные сервисы не торчат опой наружу - типа заходи любой и начинай сканить на уязвимости. А неадекваты, рано или поздно будут наказаны за свои головотяпство и детскую посредственность.
Ответить | Правка | Наверх | Cообщить модератору

40. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от Аноним (43), 06-Ноя-21, 12:27 
если убрать табличку "минное поле", то можно разбивать кемпинг и детскую площадку. это адекватно?
Ответить | Правка | Наверх | Cообщить модератору

47. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от пох. (?), 06-Ноя-21, 13:55 
> если убрать табличку "минное поле", то можно разбивать кемпинг и детскую площадку.
> это адекватно?

конечно. Заодно и мины сработают - вот и почистили.

Ответить | Правка | Наверх | Cообщить модератору

60. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от Ковидл атеист (?), 06-Ноя-21, 15:30 
Как-то с аналогией совсем все плохо.
Адекватно выстроить когруг забор от свободного проникновения третьих лиц, обычно так и делают.
Гарантирует ли это 100% защиту? Нет не гарантирует, тем не менее это снижает риск.
Тут прямо развернулась дискуссия про банальное, удивлен, что нужно что-то объяснять по этому поводу.
Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

10. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  –2 +/
Сообщение от Тот самый (?), 06-Ноя-21, 00:41 
>формат определялся в ExifTool по MIME-типу содержимого, а не расширению файла

Пора включать в олимпийские виды спорта прыжки на грабли

Ответить | Правка | Наверх | Cообщить модератору

11. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  –2 +/
Сообщение от Аноним (11), 06-Ноя-21, 00:43 
> GitLab вызывает ExifTool для всех файлов с расширениями jpg, jpeg и tiff для чистки лишних тегов)

Что за безобразие? Почему какой-то там гитлаб решает что эти теги лишние? Какой криворукий это сделал?

Ответить | Правка | Наверх | Cообщить модератору

13. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +1 +/
Сообщение от Аноним (13), 06-Ноя-21, 01:15 
Можно подумать, что там только один криворукий, а все остальные - няши.

https://gitlab.com/gitlab-org/build/CNG/-/blob/master/shared...

Кто сколько косяков насчитает? (помимо того, что скрипт написан тем местом, на котором нормальные люди на стуле зиждятся)

Ответить | Правка | Наверх | Cообщить модератору

16. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +2 +/
Сообщение от Аноним (42), 06-Ноя-21, 01:36 
>Халатное отношение администраторов серверов с GitLab

Шикарно!
Наговнокодить дырень эпических размеров, залатать её и сидеть молчать в тряпочку пока не начнется её активная эксплуатация - это мы можем.
Иметь инсталлятор который почти при каждом апдейте выдает какие-то проблемы которые приходится идти гуглить пока сервер лежит - это мы тоже можем.
Но виновато во всем конечно-же халатное отношение админов.
Какого вообще черта данные от неавторизованного пользователя как-то обрабатываются и куда-то там передаются?

З.Ы. У апрельской статьи на хабре с описанием релиза 13.10 символичненькое такое название подобралось "Вышел релиз GitLab 13.10 с улучшениями для администраторов и управлением уязвимостями"

Ответить | Правка | Наверх | Cообщить модератору

18. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +1 +/
Сообщение от Ковидл атеист (?), 06-Ноя-21, 01:53 
Ты как бы когда берешь софт, всегда его используешь на свой страх и риск.
И как бы да, задача админа в первую очередь сделать так, чтобы запросы от всякого левака в принципе не доходили до подобных сервисов. Это азы безопасности, нулевой уровень.
И как бы да, когда какая-то шваль пробьет корпоративный сервак, ты будешь с выпученными глазами окуня, с багровым лицом, пытаться объяснить как такое могло произойти.
Ответить | Правка | Наверх | Cообщить модератору

39. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +1 +/
Сообщение от пох. (?), 06-Ноя-21, 12:22 
а "шваль" за соседним столом будет тихо лыбиться в бороденку.

И никакими, дурачок, своими подпрыгами и попердываниями ты от такого поворота не защитишься.
А иметь будут - тебя, дурака. И про азы и безопастность будешь подкудахтывать в процессе имения.

У умного, разумеется, либо нет никакого гитхлама, либо есть подписанное руководством письмо с объяснениями, почему этот хлам изначально недоверенный и нет ни гарантий его работоспособности, ни гарантий от троянцев внутри и снаружи, и что риски принимает на себя тот, кто жить без этой мусорки никак не мог.

Ответить | Правка | Наверх | Cообщить модератору

41. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +1 +/
Сообщение от Ковидл атеист (?), 06-Ноя-21, 12:39 
1) Откуда у "швали" с бородой токены к запросам?

2)
>> И никакими, дурачок, своими подпрыгами и попердываниями ты от такого поворота не защитишься.
>> А иметь будут - тебя, дурака. И про азы и безопастность будешь подкудахтывать в процессе имения.

Похоже в моем тексте ты увидел себя, иначе как объяснить столь негативную эмоциональную реакцию?

3) Причем тут гитлаб? Он один в этом мире с дырами?

Пиши еще, жду с нетерпением.

Ответить | Правка | Наверх | Cообщить модератору

48. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от пох. (?), 06-Ноя-21, 13:57 
> 1) Откуда у "швали" с бородой токены к запросам?

а ты как думаешь?

> 3) Причем тут гитлаб? Он один в этом мире с дырами?

нет, гуанософта в мире дохрена. Это вовсе не означает что надо бежать вприпрыжку его ставить и потом всем рассказывать какой ты крутой и гениальный - аж закрыл его от интернетов (а на деле тебе никто внешний адрес и не даст - только это ни от чего не поможет). Может плохо обернуться.

Ответить | Правка | Наверх | Cообщить модератору

58. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +2 +/
Сообщение от Ковидл атеист (?), 06-Ноя-21, 15:22 
>> а ты как думаешь?

Мифический персонаж с бородой это плод твоей фантазии, ты и объясняй откуда у него токены.

>> ты крутой и гениальный

Неужели ты попал под огромное впечатление от "моей крутости", когда я озвучил простую мысль о том, что задача админа заниматься в том числе разграничением доступа к ресурсам?

Ответить | Правка | Наверх | Cообщить модератору

20. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от Аноним (20), 06-Ноя-21, 02:01 
> а на 29% систем определить номер используемой версии не удалось

Уязвимость в GitLab, позволяющая определить версию установленного ПО.

> Судя по проведённому 31 октября сканированию глобальной сети из 60 тысяч публично доступных экземпляров GitLab, только на 29% систем определить номер используемой версии не удалось.

ftfy

Ответить | Правка | Наверх | Cообщить модератору

22. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  –3 +/
Сообщение от Аноним (22), 06-Ноя-21, 04:00 
>   (metadata
>       (Copyright "\
>   " . qx{echo test >/tmp/test} . >\
>   " b ") )

Очередная победа свободы.

Ответить | Правка | Наверх | Cообщить модератору

80. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от Аноним (80), 07-Ноя-21, 20:33 
Очередной фанатик несвободы
Ответить | Правка | Наверх | Cообщить модератору

23. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  –4 +/
Сообщение от Аноним (22), 06-Ноя-21, 04:01 
И на затравочку:
#ЗАТОНЕГИТХАБ
Ответить | Правка | Наверх | Cообщить модератору

49. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от ыы (?), 06-Ноя-21, 14:18 
ЗАТОНЕ ГИТХАБ ?

Чеб ему тонуть...

Ответить | Правка | Наверх | Cообщить модератору

73. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от Аноним (73), 06-Ноя-21, 19:01 
А вот GitFlic неуязвим!
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

28. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +1 +/
Сообщение от Михрютка (ok), 06-Ноя-21, 10:42 
даже не знаю, с чего начать, все такое вкусное.

во-первых, очередное стопятьсотое последнее китайское напоминание - не суй в eval() нечищеный ввод от пользователя.

во-вторых, настройки этого гитлаб комбайна по умолчанию доставляют:

A few months ago one of our customers found two suspicious user accounts with admin rights on its Internet-exposed GitLab CE server, and asked us to investigate what it looked like a security incident. Here’s what we found:

1) Between June and July 2021, two users were registered with random-looking usernames.

This was possible because this version of GitLab CE permits user registration by default. Moreover, the email address specified during the registration phase isn’t verified by default, thus the newly created user is automatically logged on without any further steps. In addition, no notifications are sent to the administrators.

прикольно, когда такое счастье торчит голым восьмидесятым портом в интернеты, да?

там, наверное, етот олень^Wкастомер еще и админский пароль adminadmin не поменял.

третье,

патч для этой дыры был доступен с апреля,

CVE опубликована в мае,

експлоет для дыры доступен на гитхабе с июня,

гитлабовское сесурити раздупляется постом "Action needed" в ноябре, когда уже новость о ботнете из гитлаб инсталляций на первой странице HN засветилась.

30 тысяч аленей^Wадминов етих гитлабов не знают про дыру до сих пор, и им норм. кто вообще читает ети устаревшие рассылки ети релиз нотесы с от такими большими буквами "GitLab Critical Security Release", только такие старые пердуны, как я.

/rant

Ответить | Правка | Наверх | Cообщить модератору

81. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от Аноним (80), 07-Ноя-21, 20:35 
Новые люди рождаются каждый день и так же каждый день появляются новые программисты, это для тебя стопятьсотое последнее китайское напоминание, а для них --- это первый раз.
Ответить | Правка | Наверх | Cообщить модератору

34. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +2 +/
Сообщение от Михрютка (ok), 06-Ноя-21, 11:54 
и просто вдогонку:

GitLab прекращает использование имени "master" по умолчанию

11.03.2021 20:57

https://www.opennet.dev/opennews/art.shtml?num=54743

зато тут и в бложике отметились, и в твиторе написали.

11 утра суббота 5 ноября, а я уже истратил месячный лимит на веру в человечество за декабрь.

Ответить | Правка | Наверх | Cообщить модератору

53. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  –1 +/
Сообщение от Растоманя (ok), 06-Ноя-21, 14:37 
> GitLab прекращает использование имени "master" по умолчанию

Теперь будет "black master"

Ответить | Правка | Наверх | Cообщить модератору

45. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от Аноним (44), 06-Ноя-21, 13:25 
Запретили мастер, теперь все заходят через черную дыру
Ответить | Правка | Наверх | Cообщить модератору

57. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от шайтан (?), 06-Ноя-21, 15:18 
BHM
Ответить | Правка | Наверх | Cообщить модератору

71. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  –1 +/
Сообщение от Аноним (70), 06-Ноя-21, 18:21 
Вся суть опенсорса - сторонняя библиотека, с открытым кодом, который никто и не собирался смотреть, кроме атакующих. Гыыы. Страдайте опенсосники.
Ответить | Правка | Наверх | Cообщить модератору

84. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от Аноним (-), 10-Ноя-21, 04:21 
Это называется квалификация. Только не та что теоремы да формулы в голове как ошибочно пологает большинство.
Ответить | Правка | Наверх | Cообщить модератору

72. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."  +/
Сообщение от Аноним (72), 06-Ноя-21, 18:45 
>> некорректной обработкой загружаемых файлов, позволяющей удалённо выполнить свой код на сервере

Как это работает?
if ...
else
eval(args) & process.start(args);
??

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру