The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в GitLab, позволяющая захватить аккаунты, авторизированные через OAuth, LDAP и SAML"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в GitLab, позволяющая захватить аккаунты, авторизированные через OAuth, LDAP и SAML"  +/
Сообщение от opennews (??), 01-Апр-22, 08:50 
В корректирующих обновлениях платформы для организации совместной разработки GitLab 14.7.7, 14.8.5 и 14.9.2 устранена критическая уязвимость (CVE-2022-1162), связанная с установкой предопределённых (hardcoded) паролей для учётных записей, зарегистрированных с использованием провайдера  OmniAuth (OAuth, LDAP и SAML). Уязвимость потенциально позволяет атакующему  получить доступ к учётной записи. Всем пользователям рекомендуется срочно установить обновление. Детали проблему пока не раскрываются. Для пользователей, чьи учётные записи были подвержены проблеме, инициирован  сброс установленных паролей. Проблема выявлена сотрудниками GitLab и проведённое расследование не выявило следов компрометации пользователей...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56948

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."  +4 +/
Сообщение от Аноним (1), 01-Апр-22, 08:50 
хорошо в этот раз постгрес не грохнули - спасибо
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."  +/
Сообщение от anonymous (??), 01-Апр-22, 08:54 
а когда грохали?
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."  +8 +/
Сообщение от pashev.ru (?), 01-Апр-22, 09:17 
Эх, молодёжь!
Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."  +3 +/
Сообщение от Брат Анон (ok), 01-Апр-22, 09:06 
Пр чём тут постгресс?
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

6. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."  –6 +/
Сообщение от A (?), 01-Апр-22, 09:43 
А это софт такой. Куда не влезешь, вылезаешь немного удивлённый, с желанием больше не пользоваться.
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."  +2 +/
Сообщение от Аноним (14), 01-Апр-22, 12:47 
короткая память? не помнишь когда одмины гитлаба ушатали постгресовую базу?
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

31. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."  –1 +/
Сообщение от Брат Анон (ok), 03-Апр-22, 14:42 
> короткая память? не помнишь когда одмины гитлаба ушатали постгресовую базу?

Ещё раз задам вопрос, если ты его не прочитал с первого раза:

ПРИ ЧЁМ ТУТ __ПОСТГРЕС__?

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."  +1 +/
Сообщение от A (?), 01-Апр-22, 09:42 
> ... предопределённых (hardcoded) паролей ...

AAAAAAAAA!!!! :)))

Этим сервисом нельзя пользоваться в бизнесе.

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."  +8 +/
Сообщение от Аноним (7), 01-Апр-22, 09:48 
Это энтерпрайз уровень и есть. А вы чего ждали?
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."  +/
Сообщение от Заноним (?), 01-Апр-22, 13:45 
Паниковский, брось гуся.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

20. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."  +/
Сообщение от randomizeemail (?), 01-Апр-22, 15:05 
1 апреля, не?
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

21. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."  +/
Сообщение от randomizeemail (?), 01-Апр-22, 15:11 
Надеюсь, GitLab нас все-таки разыгрывает https://about.gitlab.com/releases/2022/03/31/critical-securi.../
Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."  +/
Сообщение от randomizeemail (?), 01-Апр-22, 15:12 
Хоть и правка была вчера.
Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."  +/
Сообщение от And (??), 01-Апр-22, 20:22 
Да уж больно в струе всего остального. Лёгкий налёт легкомысленности и лёгких последствий от того.
Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."  +1 +/
Сообщение от Аноним (29), 02-Апр-22, 09:34 
> 1 апреля

В эпоху постиронии каждый день 1 апреля.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

8. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."  +5 +/
Сообщение от Аноним (14), 01-Апр-22, 10:52 
Главное было сделано, master на main заменили и логотип раскрасили. Остальное не особо важно xD
Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."  +/
Сообщение от Аноним (11), 01-Апр-22, 11:30 
>логотип раскрасили

А пруфы будут? Я вот помню Medium когда-то красил логотип в цвета LGBT-флага, мне пришлось даже скрипт написать, убирающий это непотребство, ибо зайдёт кто-нибудь, а у меня на экране такое, подумают что я из "этих", в век не отмылся бы потом.

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."  +1 +/
Сообщение от Аноним (14), 01-Апр-22, 12:39 
https://about.gitlab.com/ так открой глянь
Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."  +/
Сообщение от Аноним (17), 01-Апр-22, 14:07 
На selfhosted некрашенный
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."  +/
Сообщение от Аноним (14), 01-Апр-22, 14:53 
а селфхостед за ВПНом тем более
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."  +1 +/
Сообщение от Аноним (18), 01-Апр-22, 14:46 
> мне пришлось даже скрипт написать, убирающий это непотребство

по-моему это уже клиника. Не, то, что они раскрашивают лого - это тоже клиника, но и у тебя не менее клиника. Нормальный человек бы просто проигнорировал или выработал "баннерную слепоту".

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

23. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."  +2 +/
Сообщение от Анонм (?), 01-Апр-22, 16:02 
> подумают что я из "этих", в век не отмылся бы потом

Так ты и есть из «этих». Нормальному мужику пофигу что про него какие-то бабуины думают, это только «эти», особенно латентные, пекутся лишь бы кто чего не заподозрил. Выйди из шкафа уже, легче жить будет.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

10. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."  +2 +/
Сообщение от Аноним (11), 01-Апр-22, 11:26 
>связанная с установкой предопределённых (hardcoded) паролей для учётных записей
>hardcoded
>Уязвимость

С каких это пор бэкдоры называются уязвимостями?

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."  +2 +/
Сообщение от Аноним (12), 01-Апр-22, 12:13 
если нашли и всем рассказали, значит уязвимость
Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."  +/
Сообщение от Аноним (29), 02-Апр-22, 09:36 
Бекдоры входят во множество уязвимостей.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

25. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."  +/
Сообщение от Аноним (25), 01-Апр-22, 16:41 
кому интересно: https://gitlab.com/gitlab-org/gitlab/-/commit/8e1715c7ccbf33...
Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в GitLab, позволяющая захватить аккаунты, авториз..."  +/
Сообщение от mos87 (ok), 05-Апр-22, 08:57 
Оно на руби.
/
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру