The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимости в GitLab, позволяющие захватить учётную запись и выполнить команды под другим пользователем"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в GitLab, позволяющие захватить учётную запись и выполнить команды под другим пользователем"  +/
Сообщение от opennews (??), 12-Янв-24, 11:31 
Опубликованы корректирующие обновления платформы для организации совместной разработки - GitLab 16.7.2, 16.6.4 и 16.5.6, в которых устранены две критические уязвимости. Первая уязвимость (CVE-2023-7028), которой присвоен максимальный уровень опасности (10 из 10), позволяет захватить чужую учётную запись через манипуляции с формой восстановления забытого пароля. Уязвимость вызвана возможностью отправки письма с кодом для сброса пароля на неподтверждённые email-адреса. Проблема проявляется начиная с выпуска GitLab 16.1.0, в котором появилась возможность отправки кода восстановления пароля на неверифицированный запасной email-адрес...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60425

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +3 +/
Сообщение от Аноним (1), 12-Янв-24, 11:31 
> Проблема проявляется начиная с выпуска GitLab 16.1.0, в котором появилась возможность отправки кода восстановления пароля на неверифицированный запасной email-адрес.
> возможность отправки кода восстановления пароля на неверифицированный запасной email-адрес.

Господа эксперты, можете объяснить: как это вообще?

Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +10 +/
Сообщение от Аноним (3), 12-Янв-24, 12:06 
Это называется безопасность уровня "руби", есть ещё безопасность уровня "перл". Также существует безопасность уровня "пхп", там уже тёртые камаки.
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +1 +/
Сообщение от Аноним (4), 12-Янв-24, 12:19 
А с сишкой чо?
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +10 +/
Сообщение от Шарп (ok), 12-Янв-24, 12:42 
С сишкой сразу был бы root доступ к серверу, а не угон аккаунта в веб приложении.
Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +1 +/
Сообщение от Аноним (34), 12-Янв-24, 16:17 
> А с сишкой чо?

Сишка и безопасность — это параллельные миры. Которые, как мы знаем из геометрии, не пересекаются.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

52. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Аноним (52), 12-Янв-24, 18:39 
А ты используй не Эвклидовую
Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от fi (ok), 12-Янв-24, 18:44 
это у вас остаточные знания школьной геометрии :DDD

возьмите кривизну пространства отличную от '0' - и много чего узнаете )))

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

60. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +4 +/
Сообщение от Аноним (34), 12-Янв-24, 20:08 
>  это у вас остаточные знания школьной геометрии :DDD

Не пытайтесь выглядеть умнее, чем вы есть.

> возьмите кривизну пространства отличную от '0' - и много чего узнаете )))

Строгое понятие параллельности есть только в Евклидовой геометрии.
В геометрии Лобачевского есть асимптотическая параллельность. Асимптотически параллельные прямые тоже не пересекаются.
В сферической и Римановой геометрии понятие параллельности в принципе отсутствует.

Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  –7 +/
Сообщение от scriptkiddis (?), 12-Янв-24, 20:17 
Открыл проветрить, душно.
Ответить | Правка | Наверх | Cообщить модератору

82. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +1 +/
Сообщение от anonymous (??), 13-Янв-24, 09:39 
Параллельные прямые пересекаются в бесконечности.
Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

90. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +2 +/
Сообщение от Аноним (34), 13-Янв-24, 16:12 
Докажите.
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +2 +/
Сообщение от Аноним (14), 12-Янв-24, 14:18 
Самый безопасный уровень «раста» — там кода просто нет, соответственно ломать нечего.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

95. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Самый Лучший Гусь (?), 15-Янв-24, 02:20 
Так говорят же что самый лучший код это такой код который не был написан. Если этот код был не написан на безопасном языке то это даже лучше чем если на какойто сишке или пхп
Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Аноним (7), 12-Янв-24, 12:29 
> Господа эксперты, можете объяснить: как это вообще?

ну типа тебя спрашивают (или даже не спрашивают но в недрах юзерпрофайла на стопиццотом этаже вложенности закопана возможность) - "дай запасной мэйл, а то вдруг основной у тебя сдохнет а пароль ты уже давно прое..." - и ты такой радостно - а НННА! otjebites@devnull.org

А выясняется что это реально существующий домен и владелец умеет получать письма на этот адрес!
Хренак - и твой летфпад теперь - его!

Кто бы мог подумать и было ли ему - вот вообще - чем?!

Поэтому теперь будешь подтверждать свои емели по паспорту, иначе хрен тебе а не возможность выкладывать свои лефтпады.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

58. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +5 +/
Сообщение от Аноним (-), 12-Янв-24, 20:01 
> А выясняется что это реально существующий домен и владелец умеет получать письма на этот адрес!

А вот нифига.
Просто атакующий шлет запрос на восстановление не с одним мылом, а с массивом
[validDevEmail@mail.com, attakerMail@evil.com]
И все)

Думаю найти нужные почтовые адреса это дело техники.

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Бывалый смузихлёб (?), 12-Янв-24, 15:24 
это почти как в авито
Упомянут в аккаунте элящик и номер телефона в акке( при полном доступе к почте, которая привязана к ящику )
Симке конец пришёл, она была перевыпущена. Кто-то решил залезть в авито. Ввёл данные по симке, зашёл в акк, твой старый акк без каких-либо вопросов.
Разговоры к одмену в итоге сводятся к тому что "мы не можем идентифицировать пользователя ввиду недостаточности документов в аккаунте, никакие действия недоступны без многофакторного подтверждения"( Да нахрена они нужны, просто заблокировать хотя бы !? -Но тебе на элящик летят уведомления, как "пользователь" что-то совершил, а сама контора - отказывается даже заблокировать акк с требованием прохождения верификации по номеру-элящику(вход по которым возможен и они добавлены ) )
Крч, много веселухи может быть
Самое забавное, что, из всплывающих за многие месяцы на опеннете уязвимостей гитлаба.. ни одна не работала в гитхабе. По случайному, разумеется, совпадению.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

23. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +3 +/
Сообщение от Аноним (-), 12-Янв-24, 15:39 
> Самое забавное, что, из всплывающих за многие месяцы на опеннете уязвимостей гитлаба.. ни одна не работала в гитхабе. По случайному, разумеется, совпадению.

Может они их нашли и починили раньше?
А может гитлаб пишут раки, причем ногами.

Если тут есть какая-то теория заговора, то я ее не уловил)

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Аноним (34), 12-Янв-24, 16:19 
> А может гитлаб пишут раки, причем ногами.

Ну, наверное, всё-таки люди, но пожалуй, действительно не вполне адекватные и квалифицированные (говорю по многолетнему опыту эксплуатации гитлаба, закончившейся переездом на gitea+argo).

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Аноним (42), 12-Янв-24, 16:54 
А зачем упоминать номер телефона в акте Авито? Прищемили себе дверью, а потом жалуетесь?
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

43. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Бывалый смузихлёб (?), 12-Янв-24, 17:03 
> А зачем упоминать номер телефона в акте Авито? Прищемили себе дверью, а
> потом жалуетесь?

ну там... номер телефона кагбэ.. просиццо
Вообще-то, это уже далеко не основной, но весьма странная ситуация, когда контора не то чтобы восстанавливает старый акк( не надо ), но отказывается заблокировать старый и рассказывает сказки про комплексное подтверждение входа, которого, по факту, нет

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +1 +/
Сообщение от Аноним (45), 12-Янв-24, 18:19 
Потому что долгое время это был основной идентификатор аккаунта. Не изолированная почта, не пара логин-пароль, а привязка к номеру. Естественно, номера собирались в базы, были сайты с коллекцией всех когда-либо размещённых объявлений по номеру, итд. Никакой приватности, но оно работало, было удобно и не создавало проблем.

Потом пришли эффективные менеджеры, и теперь авито безальтернативно просит мордой в вебку покрутить и паспорт прислать. И номер продавца теперь не узнать, чтобы прозвонить ему голосом. Всё взаимодействие только через сайт, а для сайта нужен аккаунт, а для аккаунта сливать авито персданные.

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

55. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Аноним (42), 12-Янв-24, 19:06 
Ну так, может, не надо регистрироваться на мутных сайтах, если они требуют номер телефона?
Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +1 +/
Сообщение от Аноним (-), 12-Янв-24, 20:14 
А если все-таки хочется продать свой пентиум 3?
Или нужно поискать на барахолке память для своего коредвадуо, а бомжи около мусорки принимают тебя за конкурента?
Вот именно тогда люди регистрируются на всяких авитах.
Ответить | Правка | Наверх | Cообщить модератору

88. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Бывалый смузихлёб (?), 13-Янв-24, 16:01 
> Ну так, может, не надо регистрироваться на мутных сайтах, если они требуют
> номер телефона?

*шутка про не_мутные сайты с обилием предложений по товару, которые. притом, ничего не требуют и не спрашивают*
Как не в РФ живёшь, ейбогу
А номер телефона нынче требуется почти для всего вплоть до почты( уже лет 5 назад были большие сложности с регистрацией ящика на том же гугломейле без предоставления телефона. Даже если удалось, то быстро блочат "обнаружена подозрительная активность" и требуют предоставить номер, иначе - акк не разблокировать, ведь подозрительно )

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

89. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +1 +/
Сообщение от Аноним (34), 13-Янв-24, 16:10 
Напомнило легендарный немецкий хостинг Contabo, который позволял зарегаться без скана паспорта.
Но, по удивительному совпадению, ровно через два месяца после регистрации у всех пользователей случалась "подозрительная активность", и для разблокировки аккаунта нужен был скан паспорта.
Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +1 +/
Сообщение от нах. (?), 12-Янв-24, 18:35 
У меня еще веселей - симка давно сдохла, но залезть в авито решил я. Акаунту лет десять уже.
Телефон тогда еще не требовали с ножом к горлу, но он там был просто чтоб мне могли позвонить потенциальные покупатели.

И... опаньки - мы тебе прислали нужный и полезный смс, срочно введи оттуда кот. Да нам похрен что ты знаешь свой пароль, что тебе по прежнему принадлежит мэйл и что ты не просил такой "заботы" - кот давай.

И да, никакие действия недоступны, авите лудше знать как заботиться о твоей безопастносте.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

93. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Аноньимъ (ok), 13-Янв-24, 18:37 
У меня ещё ещё веселее.

Купил симку, активировал. Стал пользоваться.

И тут стали приходить смс о банковских операциях. О восстановлении доступа в фейсбук чи вконтакт.
Я по номеру то в фейсбук и зашёл, но не нашёл там способа связаться с владельцем и попросить его от..вязать потерянный номер от банковского аккаунта.

Ответить | Правка | Наверх | Cообщить модератору

94. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от анон (?), 14-Янв-24, 00:15 
Смени ему авку на картинку с текстом, который хочешь ему передать
Ответить | Правка | Наверх | Cообщить модератору

96. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от нах. (?), 18-Янв-24, 11:30 
ну фигле... я про вконтакт только знаю (потому что раз в три года все же вынужден пользоваться чтобы прочитать что-то зачем-то там помеченное "только для залогиненых", секьюрить, мля) - а сколько и чего у меня еще было попривязано к левым симкам - даже и не вспомнить уже.

И как его отвязать-то если симка уже не твоя? Просить тебя переслать код из смсочки?

Но в принципе можешь ему в фейсбуке на страничку нагадить, в предположении что он хотя бы помнит какой у него был номер, хотя... в некоторых странах уголовно наказуемо.


Ответить | Правка | К родителю #93 | Наверх | Cообщить модератору

71. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +1 +/
Сообщение от Аноним (71), 12-Янв-24, 22:53 
> Господа эксперты, можете объяснить: как это вообще?

Всё просто. Так всегда, если халтурят в угоду конъюктуре, вместо создания продукта.

Они ж работу с регулярками начинали два раза. Результат обоих попыток оставил чувство отторжения и желание перестать пользоваться.

Увы и ах. Ну такие они.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

75. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Аноним (34), 13-Янв-24, 01:58 
> Всё просто. Так всегда, если халтурят в угоду конъюктуре, вместо создания продукта.

Обычный бизнес в IT. Можно подумать, Microsoft делал иначе.

Ответить | Правка | Наверх | Cообщить модератору

85. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +2 +/
Сообщение от Аноним (71), 13-Янв-24, 13:55 
Обыденность зла. Всё так.

Сосед бандюк, выбивающий из должников ночами, может запросто зайти к соседу попросить по человески кончившейся соли. Будет добрый человек, сосед... А ночью выбивает...

И что, что другие так делают? Тоже так хочешь? Или хочешь назвать это хорошим, передёрнуть смыслы? А?

Ответить | Правка | Наверх | Cообщить модератору

92. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +1 +/
Сообщение от Аноним (34), 13-Янв-24, 17:22 
"Хорошая корпорация" — оксюморон.
Любая корпорация занимается добычей денег, и пути к этой цели уж точно не ограничиваются моралью. Только законом, да и то не всегда.
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Аноним (2), 12-Янв-24, 12:05 
А Tor ещё перешёл на это рeшето с trac...
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +2 +/
Сообщение от Аноним (4), 12-Янв-24, 12:20 
В трак ещё хуже.
Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  –1 +/
Сообщение от Аноним (28), 12-Янв-24, 15:59 
Они и на Раст со временем планируют перейти, в соответствии с рекомендациями NSA.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

37. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Аноним (34), 12-Янв-24, 16:21 
NSA любит только сишку. Иначе может не получиться зайти с туза, а это очень важно для защиты демократии.
Ответить | Правка | Наверх | Cообщить модератору

87. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Аноним (87), 13-Янв-24, 14:00 
Неа, NSA уже не может в Си, потому что туда набирают по квотам, вот они и рекомендуют преписать все на Rust https://www.itpro.com/development/programming-languages/3694...
Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  –1 +/
Сообщение от нах. (?), 12-Янв-24, 18:36 
чувак осторожней - там некий Хэнлон чота недобро улыбается и бритвой небезопасной помахивает в твою сторону.

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

6. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +4 +/
Сообщение от Аноним (7), 12-Янв-24, 12:26 
срачно внидряем стофакторную аутентификацию! С подтверждением нотариально заверенной копией паспорта!

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +1 +/
Сообщение от YetAnotherOnanym (ok), 12-Янв-24, 14:07 
Уязвимость 10/10 - можно получить доступ к чужой учётной записи, прислав произвольную фотографию.
Ответить | Правка | Наверх | Cообщить модератору

54. Скрыто модератором  +1 +/
Сообщение от Аноним (-), 12-Янв-24, 18:58 
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Аноним (-), 12-Янв-24, 13:22 
А сколько было аргументов в теме про обязательную двухфакторку.
С призывами "уходить на гитлаб"
Ну что? Ушли))?
Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +2 +/
Сообщение от Бывалый смузихлёб (?), 12-Янв-24, 15:30 
забавно то, что на гитхабе эти уязвимости почему-то не всплывают
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Аноним (-), 12-Янв-24, 15:41 
Не всплывают или их там нет?
Предположу второе, тк "майкрософт удаляет все упоминания о вулнах в гитхабе и убирает свидетелей" - это перебор дляже для мелкомягких)
Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +1 +/
Сообщение от Аноним (34), 12-Янв-24, 18:35 
Ну, как минимум, аудитить код gh сложнее, так как он не опенсорсный.
Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Аноним (-), 12-Янв-24, 19:57 
Если говорить про уязвимость из новости - то тут достаточно было UI.
Возможно разные настройки делали разные команды и возникла несогласованность.
Или какая-то новая фича перекрыла и испортила старую.

Вот бы была какая-то BIM система для разработки, как у строителей.
Чтобы ты ей "а добавлю я, от такую фичу", а она тебе "угу, поломаешь тут и вот тут, ну удачи лузер!".

Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Аноним (34), 12-Янв-24, 20:11 
> Если говорить про уязвимость из новости - то тут достаточно было UI.

Где в интерфейсе восстановления пароля гитлаба ввести массив почт?

Ответить | Правка | Наверх | Cообщить модератору

70. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Вы забыли заполнить поле Name (?), 12-Янв-24, 21:05 
Есть сливы ынтерпрайз версии.
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

74. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Аноним (34), 13-Янв-24, 01:56 
Белые хакеры вряд ли на такое заморачиваться будут, потому что статус весьма мутный.
А чёрные на станут публиковать инфу о дырах, у них другие методы заработка.
Ответить | Правка | Наверх | Cообщить модератору

78. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Вы забыли заполнить поле Name (?), 13-Янв-24, 02:11 
> Белые хакеры вряд ли на такое заморачиваться будут, потому что статус весьма
> мутный.
> А чёрные на станут публиковать инфу о дырах, у них другие методы
> заработка.

Не понял про статус. Можно из кода скрафтить эксплойт и если он воспроизводится в проде, то бинго. Говорить откуда у тебя эксплойт не обязательно же.

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Аноним (33), 12-Янв-24, 16:14 
Ушёл. Сначала на GitLab, когда GH купила M$. Потом обратно, когда GitLab inc. решила, что ей всё можно. В след за ней M$ решила, что ей всё тоже можно - куда вы денетесь с подводной лодки. Ушёл на Codeberg.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

44. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +3 +/
Сообщение от Аноним (34), 12-Янв-24, 17:24 
Мыши плакали, кололись, но продолжали есть бесплатный сыр, несмотря на то, что к нему была привязана ниточка, позволяющая выдернуть его прямо из желудка бедной мышки.
Ответить | Правка | Наверх | Cообщить модератору

73. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  –2 +/
Сообщение от Аноним (73), 12-Янв-24, 23:08 
Пойди платный браузер поюзай, Netscape Communicator 4.0.
Ответить | Правка | Наверх | Cообщить модератору

91. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Аноним (34), 13-Янв-24, 16:13 
Попытка съехать с темы не засчитана.
Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +2 +/
Сообщение от Аноним (45), 12-Янв-24, 18:34 
Ты не путай тёплое с мягким.

Одно дело — обязательная двухфакторка. Через оффлайновые генераторы кодов, например.

Другое — идиотская привязка к номеру телефона, деанонимизирующая, но не защищающая абсолютно ни от чего.

И не надо подменять понятия. Обязательная двухфакторка — хорошо. Привязка к мобиле и паспорту — зло.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

59. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Аноним (-), 12-Янв-24, 20:07 
Это да, но в теме про двухфакторку PyPI куча анонов порвались.
Им даже FreeOTP, LinOTP, Authy, Google Authenticator не подходят.

А некоторые, особо долбанутые, начали рассказывать про злое FIDO (но не то) и токены которые за ними следят и "куда надо докладывают".

Ответить | Правка | Наверх | Cообщить модератору

68. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от nameleftblank (?), 12-Янв-24, 20:56 
ну так это их проблемы, что у них бред преследования на почве матана
Ответить | Правка | Наверх | Cообщить модератору

76. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Аноним (34), 13-Янв-24, 02:00 
> у них бред преследования на почве unix way

Исправил опечатки.

Ответить | Правка | Наверх | Cообщить модератору

83. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от anonymous (??), 13-Янв-24, 09:42 
>Обязательная двухфакторка — хорошо.

https://www.opennet.ru/opennews/art.shtml?num=60408

>невозможности использования USB-ключей FIDO2 в приложениях после их использования в Firefox.

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

15. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Аноним (15), 12-Янв-24, 14:38 
Оно звучит страшнее, чем есть на самом деле. Как ты в учетку свой email то добавишь?
Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от пох. (?), 12-Янв-24, 15:36 
> Оно звучит страшнее, чем есть на самом деле. Как ты в учетку
> свой email то добавишь?

так чужой же надо добавлять!


Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +6 +/
Сообщение от анон (?), 12-Янв-24, 18:24 
Например так:

Можно переопределить почту в механизме восстановления пароля, передав специально сформированный запрос, в котором в нулевом элементе массива будет валидный email, а в следующем - злоумышленника.

PoC:

user[email][]=valid@email.com&user[email][]=attacker@email.com

Для проверки фактов компрометации систем предлагается оценить в логе gitlab-rails/production_json.log наличие HTTP-запросов к обработчику /users/password с указанием массива из нескольких email в параметре "`params.value.email`". Также предлагается проверить наличие в логе gitlab-rails/audit_json.log записей со значением PasswordsController#create в meta.caller.id и указанием массива из нескольких адресов в блоке target_details. Атака не может быть доведена до конца при включении пользователем двухфакторной аутентификации.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

61. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Аноним (-), 12-Янв-24, 20:09 
О наконец-то кто-то пришел и нормально объяснил.
Если оно действительно так работает, то это фейл просто эпичнеший.
И было бы неплохо добавить пояснение в статью.
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Аноним (16), 12-Янв-24, 14:48 
https://github.com/RandomRobbieBF/CVE-2023-7028
Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +2 +/
Сообщение от Аноним (28), 12-Янв-24, 16:10 
Хммм, неужели уязвимости бывают не только из-за ошибок управления памятью? Не может быть!
Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Аноним (34), 12-Янв-24, 18:33 
Ну а что делать, если в языке нет встроенных механизмов, позволяющих выстрелить себе в ногу?
Приходится изобретать пистолет и патроны.
Ответить | Правка | Наверх | Cообщить модератору

72. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Аноним (71), 12-Янв-24, 23:02 
А что ещё должно было быть у людей, шантажировавших отключением оплаченного сервиса, если не согласятся на телеметрию:
https://www.opennet.me/opennews/art.shtml?num=51746
https://www.opennet.me/opennews/art.shtml?num=51751

Это не тот софт, где делают софт ради качества. Обычные конъюктурщики, но не разработчики.

Ответить | Правка | Наверх | Cообщить модератору

77. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +1 +/
Сообщение от Аноним (34), 13-Янв-24, 02:02 
"Частная компания, что хотят, то и делают" ©
Ответить | Правка | Наверх | Cообщить модератору

84. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Аноним (71), 13-Янв-24, 13:51 
Да и на здоровье.

Утверждение о том, что такие компании людей дают такой результат.

Т.е. не надо пользоваться продуктами людей с такими свойствами, если хочешь пользоваться хорошим. Т.к. у них не было основной целью седлать норм. и отл. софт для CI, а делали они совсем другое.

Ответить | Правка | Наверх | Cообщить модератору

86. "Уязвимости в GitLab, позволяющие захватить учётную запись и ..."  +/
Сообщение от Аноним (71), 13-Янв-24, 13:57 
А остальным только показалось, что на халяву дают CI комбайн с жёстко прибитыми гвоздями фичами и Git.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру