forum.opennet.ru - "Уязвимость в GitLab, позволяющая захватить аккаунты, авторизированные через OAuth, LDAP и SAML" (27)

"Уязвимость в GitLab, позволяющая захватить аккаунты, авторизированные через OAuth, LDAP и SAML"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в GitLab, позволяющая захватить аккаунты, авторизированные через OAuth, LDAP и SAML"	+/–
Сообщение от opennews (??), 01-Апр-22, 08:50
В корректирующих обновлениях платформы для организации совместной разработки GitLab 14.7.7, 14.8.5 и 14.9.2 устранена критическая уязвимость (CVE-2022-1162), связанная с установкой предопределённых (hardcoded) паролей для учётных записей, зарегистрированных с использованием провайдера OmniAuth (OAuth, LDAP и SAML). Уязвимость потенциально позволяет атакующему получить доступ к учётной записи. Всем пользователям рекомендуется срочно установить обновление. Детали проблему пока не раскрываются. Для пользователей, чьи учётные записи были подвержены проблеме, инициирован сброс установленных паролей. Проблема выявлена сотрудниками GitLab и проведённое расследование не выявило следов компрометации пользователей... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56948
Ответить \| Правка \| Cообщить модератору

Оглавление

хорошо в этот раз постгрес не грохнули - спасибо, Аноним (1), 08:50 , 01-Апр-22, (1) +4

а когда грохали , anonymous (??), 08:54 , 01-Апр-22, (2)

Эх, молодёжь , pashev.ru (?), 09:17 , 01-Апр-22, (4) +8

Пр чём тут постгресс , Брат Анон (ok), 09:06 , 01-Апр-22, (3) +3

А это софт такой Куда не влезешь, вылезаешь немного удивлённый, с желанием боль, A (?), 09:43 , 01-Апр-22, (6) –6
короткая память не помнишь когда одмины гитлаба ушатали постгресовую базу , Аноним (14), 12:47 , 01-Апр-22, (14) +2

Ещё раз задам вопрос, если ты его не прочитал с первого раза ПРИ ЧЁМ ТУТ __ПОСТГ, Брат Анон (ok), 14:42 , 03-Апр-22, (31) –1

AAAAAAAAA Этим сервисом нельзя пользоваться в бизнесе , A (?), 09:42 , 01-Апр-22, (5) +1

Это энтерпрайз уровень и есть А вы чего ждали , Аноним (7), 09:48 , 01-Апр-22, (7) +8
Паниковский, брось гуся , Заноним (?), 13:45 , 01-Апр-22, (16)
1 апреля, не , randomize (?), 15:05 , 01-Апр-22, (20)

Надеюсь, GitLab нас все-таки разыгрывает https about gitlab com releases 2022 , randomize (?), 15:11 , 01-Апр-22, (21)

Хоть и правка была вчера , randomize (?), 15:12 , 01-Апр-22, (22)

Да уж больно в струе всего остального Лёгкий налёт легкомысленности и лёгких по, And (??), 20:22 , 01-Апр-22, (26)

В эпоху постиронии каждый день 1 апреля , Аноним (29), 09:34 , 02-Апр-22, (29) +1

Главное было сделано, master на main заменили и логотип раскрасили Остальное не, Аноним (14), 10:52 , 01-Апр-22, (8) +5

А пруфы будут Я вот помню Medium когда-то красил логотип в цвета LGBT-флага, мн, Аноним (11), 11:30 , 01-Апр-22, (11)

https about gitlab com так открой глянь, Аноним (14), 12:39 , 01-Апр-22, (13) +1

На selfhosted некрашенный, Аноним (17), 14:07 , 01-Апр-22, (17)

а селфхостед за ВПНом тем более , Аноним (14), 14:53 , 01-Апр-22, (19)

по-моему это уже клиника Не, то, что они раскрашивают лого - это тоже клиника, , Аноним (18), 14:46 , 01-Апр-22, (18) +1
Так ты и есть из 171 этих 187 Нормальному мужику пофигу что про него какие-, Анонм (?), 16:02 , 01-Апр-22, (23) +2

С каких это пор бэкдоры называются уязвимостями , Аноним (11), 11:26 , 01-Апр-22, (10) +2

если нашли и всем рассказали, значит уязвимость, Аноним (12), 12:13 , 01-Апр-22, (12) +2
Бекдоры входят во множество уязвимостей , Аноним (29), 09:36 , 02-Апр-22, (30)

кому интересно https gitlab com gitlab-org gitlab - commit 8e1715c7ccbf33bcfd, Аноним (25), 16:41 , 01-Апр-22, (25)
Оно на руби , mos87 (ok), 08:57 , 05-Апр-22, (32)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..." +4 +/–

Сообщение от Аноним (1), 01-Апр-22, 08:50

хорошо в этот раз постгрес не грохнули - спасибо

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..." +/–

Сообщение от anonymous (??), 01-Апр-22, 08:54

а когда грохали?

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..." +8 +/–

Сообщение от pashev.ru (?), 01-Апр-22, 09:17

Эх, молодёжь!

Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..." +3 +/–

Сообщение от Брат Анон (ok), 01-Апр-22, 09:06

Пр чём тут постгресс?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

6. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..." –6 +/–

Сообщение от A (?), 01-Апр-22, 09:43

А это софт такой. Куда не влезешь, вылезаешь немного удивлённый, с желанием больше не пользоваться.

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..." +2 +/–

Сообщение от Аноним (14), 01-Апр-22, 12:47

короткая память? не помнишь когда одмины гитлаба ушатали постгресовую базу?

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

31. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..." –1 +/–

Сообщение от Брат Анон (ok), 03-Апр-22, 14:42

> короткая память? не помнишь когда одмины гитлаба ушатали постгресовую базу?
Ещё раз задам вопрос, если ты его не прочитал с первого раза:
ПРИ ЧЁМ ТУТ __ПОСТГРЕС__?

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..." +1 +/–

Сообщение от A (?), 01-Апр-22, 09:42

> ... предопределённых (hardcoded) паролей ...
AAAAAAAAA!!!! :)))
Этим сервисом нельзя пользоваться в бизнесе.

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..." +8 +/–

Сообщение от Аноним (7), 01-Апр-22, 09:48

Это энтерпрайз уровень и есть. А вы чего ждали?

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..." +/–

Сообщение от Заноним (?), 01-Апр-22, 13:45

Паниковский, брось гуся.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

20. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..." +/–

Сообщение от randomize (?), 01-Апр-22, 15:05

1 апреля, не?

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

21. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..." +/–

Сообщение от randomize (?), 01-Апр-22, 15:11

Надеюсь, GitLab нас все-таки разыгрывает https://about.gitlab.com/releases/2022/03/31/critical-securi.../

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..." +/–

Сообщение от randomize (?), 01-Апр-22, 15:12

Хоть и правка была вчера.

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..." +/–

Сообщение от And (??), 01-Апр-22, 20:22

Да уж больно в струе всего остального. Лёгкий налёт легкомысленности и лёгких последствий от того.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..." +1 +/–

Сообщение от Аноним (29), 02-Апр-22, 09:34

> 1 апреля
В эпоху постиронии каждый день 1 апреля.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

8. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..." +5 +/–

Сообщение от Аноним (14), 01-Апр-22, 10:52

Главное было сделано, master на main заменили и логотип раскрасили. Остальное не особо важно xD

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..." +/–

Сообщение от Аноним (11), 01-Апр-22, 11:30

>логотип раскрасили
А пруфы будут? Я вот помню Medium когда-то красил логотип в цвета LGBT-флага, мне пришлось даже скрипт написать, убирающий это непотребство, ибо зайдёт кто-нибудь, а у меня на экране такое, подумают что я из "этих", в век не отмылся бы потом.

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..." +1 +/–

Сообщение от Аноним (14), 01-Апр-22, 12:39

https://about.gitlab.com/ так открой глянь

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..." +/–

Сообщение от Аноним (17), 01-Апр-22, 14:07

На selfhosted некрашенный

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..." +/–

Сообщение от Аноним (14), 01-Апр-22, 14:53

а селфхостед за ВПНом тем более

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..." +1 +/–

Сообщение от Аноним (18), 01-Апр-22, 14:46

> мне пришлось даже скрипт написать, убирающий это непотребство
по-моему это уже клиника. Не, то, что они раскрашивают лого - это тоже клиника, но и у тебя не менее клиника. Нормальный человек бы просто проигнорировал или выработал "баннерную слепоту".

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

23. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..." +2 +/–

Сообщение от Анонм (?), 01-Апр-22, 16:02

> подумают что я из "этих", в век не отмылся бы потом
Так ты и есть из «этих». Нормальному мужику пофигу что про него какие-то бабуины думают, это только «эти», особенно латентные, пекутся лишь бы кто чего не заподозрил. Выйди из шкафа уже, легче жить будет.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

10. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..." +2 +/–

Сообщение от Аноним (11), 01-Апр-22, 11:26

>связанная с установкой предопределённых (hardcoded) паролей для учётных записей
>hardcoded
>Уязвимость
С каких это пор бэкдоры называются уязвимостями?

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..." +2 +/–

Сообщение от Аноним (12), 01-Апр-22, 12:13

если нашли и всем рассказали, значит уязвимость

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..." +/–

Сообщение от Аноним (29), 02-Апр-22, 09:36

Бекдоры входят во множество уязвимостей.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

25. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..." +/–

Сообщение от Аноним (25), 01-Апр-22, 16:41

кому интересно: https://gitlab.com/gitlab-org/gitlab/-/commit/8e1715c7ccbf33...

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..." +/–

Сообщение от mos87 (ok), 05-Апр-22, 08:57

Оно на руби.
/

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."	+4 +/–
Сообщение от Аноним (1), 01-Апр-22, 08:50
хорошо в этот раз постгрес не грохнули - спасибо
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."	+/–
	Сообщение от anonymous (??), 01-Апр-22, 08:54
	а когда грохали?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."	+8 +/–
	Сообщение от pashev.ru (?), 01-Апр-22, 09:17
	Эх, молодёжь!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."	+3 +/–
	Сообщение от Брат Анон (ok), 01-Апр-22, 09:06
	Пр чём тут постгресс?
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	6. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."	–6 +/–
	Сообщение от A (?), 01-Апр-22, 09:43
	А это софт такой. Куда не влезешь, вылезаешь немного удивлённый, с желанием больше не пользоваться.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."	+2 +/–
	Сообщение от Аноним (14), 01-Апр-22, 12:47
	короткая память? не помнишь когда одмины гитлаба ушатали постгресовую базу?
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	31. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."	–1 +/–
	Сообщение от Брат Анон (ok), 03-Апр-22, 14:42
	> короткая память? не помнишь когда одмины гитлаба ушатали постгресовую базу? Ещё раз задам вопрос, если ты его не прочитал с первого раза: ПРИ ЧЁМ ТУТ __ПОСТГРЕС__?
	Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."	+1 +/–
Сообщение от A (?), 01-Апр-22, 09:42
> ... предопределённых (hardcoded) паролей ... AAAAAAAAA!!!! :))) Этим сервисом нельзя пользоваться в бизнесе.
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."	+8 +/–
	Сообщение от Аноним (7), 01-Апр-22, 09:48
	Это энтерпрайз уровень и есть. А вы чего ждали?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."	+/–
	Сообщение от Заноним (?), 01-Апр-22, 13:45
	Паниковский, брось гуся.
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	20. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."	+/–
	Сообщение от randomize (?), 01-Апр-22, 15:05
	1 апреля, не?
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	21. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."	+/–
	Сообщение от randomize (?), 01-Апр-22, 15:11
	Надеюсь, GitLab нас все-таки разыгрывает https://about.gitlab.com/releases/2022/03/31/critical-securi.../
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."	+/–
	Сообщение от randomize (?), 01-Апр-22, 15:12
	Хоть и правка была вчера.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."	+/–
	Сообщение от And (??), 01-Апр-22, 20:22
	Да уж больно в струе всего остального. Лёгкий налёт легкомысленности и лёгких последствий от того.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."	+1 +/–
	Сообщение от Аноним (29), 02-Апр-22, 09:34
	> 1 апреля В эпоху постиронии каждый день 1 апреля.
	Ответить \| Правка \| К родителю #20 \| Наверх \| Cообщить модератору

8. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."	+5 +/–
Сообщение от Аноним (14), 01-Апр-22, 10:52
Главное было сделано, master на main заменили и логотип раскрасили. Остальное не особо важно xD
Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."	+/–
	Сообщение от Аноним (11), 01-Апр-22, 11:30
	>логотип раскрасили А пруфы будут? Я вот помню Medium когда-то красил логотип в цвета LGBT-флага, мне пришлось даже скрипт написать, убирающий это непотребство, ибо зайдёт кто-нибудь, а у меня на экране такое, подумают что я из "этих", в век не отмылся бы потом.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."	+1 +/–
	Сообщение от Аноним (14), 01-Апр-22, 12:39
	https://about.gitlab.com/ так открой глянь
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."	+/–
	Сообщение от Аноним (17), 01-Апр-22, 14:07
	На selfhosted некрашенный
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."	+/–
	Сообщение от Аноним (14), 01-Апр-22, 14:53
	а селфхостед за ВПНом тем более
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."	+1 +/–
	Сообщение от Аноним (18), 01-Апр-22, 14:46
	> мне пришлось даже скрипт написать, убирающий это непотребство по-моему это уже клиника. Не, то, что они раскрашивают лого - это тоже клиника, но и у тебя не менее клиника. Нормальный человек бы просто проигнорировал или выработал "баннерную слепоту".
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	23. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."	+2 +/–
	Сообщение от Анонм (?), 01-Апр-22, 16:02
	> подумают что я из "этих", в век не отмылся бы потом Так ты и есть из «этих». Нормальному мужику пофигу что про него какие-то бабуины думают, это только «эти», особенно латентные, пекутся лишь бы кто чего не заподозрил. Выйди из шкафа уже, легче жить будет.
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору

10. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."	+2 +/–
Сообщение от Аноним (11), 01-Апр-22, 11:26
>связанная с установкой предопределённых (hardcoded) паролей для учётных записей >hardcoded >Уязвимость С каких это пор бэкдоры называются уязвимостями?
Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."	+2 +/–
	Сообщение от Аноним (12), 01-Апр-22, 12:13
	если нашли и всем рассказали, значит уязвимость
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."	+/–
	Сообщение от Аноним (29), 02-Апр-22, 09:36
	Бекдоры входят во множество уязвимостей.
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору

25. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."	+/–
Сообщение от Аноним (25), 01-Апр-22, 16:41
кому интересно: https://gitlab.com/gitlab-org/gitlab/-/commit/8e1715c7ccbf33...
Ответить \| Правка \| Наверх \| Cообщить модератору

32. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."	+/–
Сообщение от mos87 (ok), 05-Апр-22, 08:57
Оно на руби. /
Ответить \| Правка \| Наверх \| Cообщить модератору