OpenForum RSS: Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в GitLab https://m.opennet.me/openforum/vsluhforumID3/134854.html Опубликованы корректирующие обновления платформы для организации совместной разработки GitLab - 17.3.3, 17.2.6 и 17.1.8, в которых устранена критическая уязвимость, позволяющая обойти аутентификацию на базе SAML (Security Assertion Markup Language). Проблема вызвана уязвимостью (CVE-2024-45409) в Ruby-библиотеках ruby-saml и omniauth-saml, реализующих клиентскую часть SAML-авторизации. Уязвимости присвоен максимальный уровень опасности 10 из 10. Проблема устранена в обновлениях пакетов ruby-saml (1.17.0 и 1.12.3) и omniauth-saml (2.2.0)...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61893<br> Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ... (Бывалый Смузихлёб) https://m.opennet.me/openforum/vsluhforumID3/134854.html#29 Tue, 24 Sep 2024 11:19:29 GMT &gt; Вообще-то AirBnb - проект успешный и многомилионный. Твои попытки его залажать довольно <br>&gt; смешны. Ты может когда-нибудь создал проект такого масштаба? Сомневаюсь что-то. <br><br>Он условно-успешный, но не касательно ИТ - у него по сути иная ниша, связанная с арендой. Но с подобным успехом оно бы и через аналог авито или яндекс-недвижимость работало бы. Регулярные отсылки у него к конкретным технологиям тупо не имеют смысла.<br><br>Условно и прочее - т.к, учитывая его "славный" кидок пользователей РФ( а ведь эта свинья даже предоплаты за жильё не захотела возвращать как минимум абсолютному большинству ) - ничего хорошего про это упоминать невозможно. Как и про любого иного серийного вора и жулика, кинувшего простых людей на десятки-сотни кило рублей. Запланировал отпуск, оплатил жильё. "Извините, но идите в ж*, мы сливаемся, ни копейки вам не вернём, хотя ничего за них не сделали но и арендодателю не передали, т.е тупо положили себе в карман"<br> Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ... (Аноним) https://m.opennet.me/openforum/vsluhforumID3/134854.html#28 Mon, 23 Sep 2024 08:22:29 GMT &gt; убогий проект<br><br>Вообще-то AirBnb - проект успешный и многомилионный. Твои попытки его залажать довольно смешны. Ты может когда-нибудь создал проект такого масштаба? Сомневаюсь что-то.<br> Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ... (Аноним) https://m.opennet.me/openforum/vsluhforumID3/134854.html#27 Mon, 23 Sep 2024 08:11:15 GMT Есть ли какое-то доказательство этому? Пруфлинк, например.<br> Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ... (Аноним) https://m.opennet.me/openforum/vsluhforumID3/134854.html#26 Sat, 21 Sep 2024 09:25:03 GMT Обновления вышли и для 17.0.8, 16.11.10. Не что, почему в новости об этом не указано<br> Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ... (Бывалый Смузихлёб) https://m.opennet.me/openforum/vsluhforumID3/134854.html#25 Sat, 21 Sep 2024 09:24:23 GMT &gt; AirBnb <br><br>Оно и на Реакт-Натив писало. Но с заморочками уровня джавы вроде всё размазывать по отдельным файлам и каталогам разной вложенности. В итоге, со своими "рекомендациями" по типизации и ограничениям настолько свой проект перегрузили, что он стал совершенно неподдерживаемым даже исходной командой и они тупо свалили на несколько различных проектов и разбились на несколько команд.<br>Хотя их убогий проект не подразумевал большой производительности( как игра, где было бы реально вспомнить про игровые движки ) или чего-то ещё.<br>Там совершенно примитивнейшая бизнес-работа( аля банальные "бинес-приложения" с формами и кнопками ), которое с их "ценными советами"(тм)<br> оказалось перегружено до полной неподдерживаемости<br><br>И теперь иной анон подобную мусорную контору показывает в качестве примера ?)<br> Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ... (Аниним) https://m.opennet.me/openforum/vsluhforumID3/134854.html#24 Sat, 21 Sep 2024 06:52:33 GMT Ну вот вам, нормальная уязвимость здорового человека: поправил запрос и залогинился в любого пользователя. Сохраню в коллекцию чтобы потом знатокам всяким совать. Сасибо опенет!<br> Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ... (Аноним) https://m.opennet.me/openforum/vsluhforumID3/134854.html#23 Fri, 20 Sep 2024 19:03:47 GMT Для любителей Microsuxx'а вон там кто-то запилил новую версию microsuxx captcha'и, докажи что ты не робот, отпаравь смску^W^W нажми Win+R :)) https://www.opennet.ru/openforum/vsluhforumID3/134858.html<br><br>При том видимо на гитхабе и винде остались совсем уж овощи, раз ТАКОЕ еще и работает.<br> Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ... (Аноним) https://m.opennet.me/openforum/vsluhforumID3/134854.html#17 Fri, 20 Sep 2024 11:06:48 GMT в твиттере руби давно нет.<br> Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ... (Аноним) https://m.opennet.me/openforum/vsluhforumID3/134854.html#16 Fri, 20 Sep 2024 10:47:24 GMT На Руби вообще много чего полностью или частично написано. GitHub, AirBnb, Twitter, Kickstarter, etc. А уязвимости есть в библиотеках на любых языках.<br>