The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

17 уязвимостей в GitLab

12.09.2024 19:05

Опубликованы корректирующие обновления платформы для организации совместной разработки GitLab - 17.3.2, 17.2.5 и 17.1.7, в которых устранено 17 уязвимостей. Одной уязвимости присвоен критический уровень опасности (9.9 из 10), 3 - высокий, 11 - умеренный и 2 - низкий. Критическая уязвимость (CVE-2024-6678) позволяет запустить работы в конвейере непрерывной интеграции (pipeline jobs) под другим пользователем, что даёт возможность атакующему получить доступ к внутренним репозиториям и закрытым проектам этого пользователя.

Сведения об уязвимости переданы в GitLab в рамках действующей на HackerOne программы выплаты вознаграждений за обнаружение уязвимостей. Детальную информацию об уязвимости планируют раскрыть через 30 дней после публикации исправления.

  1. Главная ссылка к новости (https://about.gitlab.com/relea...)
  2. OpenNews: GitLab рассматривает возможность продажи бизнеса
  3. OpenNews: Критическая уязвимость в GitLab
  4. OpenNews: Уязвимость в GitLab, позволяющая запустить pipeline-работы под другим пользователем
  5. OpenNews: Уязвимости в GitLab, позволяющие захватить учётную запись и выполнить команды под другим пользователем
  6. OpenNews: Уязвимость в GitLab, позволяющая записать файлы в произвольный каталог на сервере
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/61851-gitlab
Ключевые слова: gitlab
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (74) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 19:19, 12/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Мда... Вот что бывает, когда доверяешь написание критической системы каким-то васянам.
    А ведь куча умников предлагали переходить на него с надежного гитхаба!
     
     
  • 2.3, Аноним (3), 19:21, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • +31 +/
    Переходить на надёжный гитхаб это шутка дня.
     
     
  • 3.54, Аноним (-), 05:49, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Переходить на надёжный гитхаб это шутка дня.

    В как минимум одном они надежны. Постоянном срыве рабочих процессов и делании мозга. То вы сменили браузер, докажи что не верблюд, и вообще, номер телефона гони! А вот вам 2FA в принудиловку, чтоб вместо занятий своим делом - вы с какой-то левой гадостью тр@хались. А вот мы тут "улучшили" интерфейс - теперь 1 ядро проца в полку даже если оно вообще нихрена не делает, во! Прикольно же если ноут жжот колени а десктоп воет вентилями - за сам факт открытия гитхаба!

    Отличные рабочие процессы. Если избавиться от этих улучшений и таких улучшателей. Ах, да, майкрософту видимо не приходило в голову что git, таки, DVCS и про что угодно - кроме наглых вендорлоков.

     
     
  • 4.82, farewell (ok), 16:43, 16/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну если ты не осилил 2FA, на который требуется 1 минута для настройки. В дальнейшем только при критических операциях типа удаления репы и т. п., то сложно представить какие у тебя рабочие процессы по своей сложности. Эффективный менеджер?
     
  • 2.11, Анонимище (?), 19:56, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Васяны не могут в силу малых знаний и опыта, а матерым профессионалам пофиг, « и так сойдет, менеджер говорил что код должен быть вчера и нет времени на рефакторинг». Но результат один.
     
     
  • 3.25, Аноним (-), 21:32, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Васяны не могут в силу малых знаний и опыта, а матерым профессионалам пофиг, « и так сойдет, менеджер говорил что код должен быть вчера и нет времени на рефакторинг».

    Лол, ты наверное в каком-то подвале работал, если вообще работал.
    Если я говорю менеджеру "код не готов, если мы релизнем так, то нас юзеры на кусочки порвут и рейтинг аппы будет на нуле", то он спрашивает "на сколько нужно сдвинуть релиз?".

    > Но результат один

    Посмотри сколько новостей про уязвимости в Гитхабе и в сабже.
    И посчиттай хотя бы на пальцах.


     
     
  • 4.30, Николай (??), 22:55, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Гм, ну тут как в старом анекдоте, "девушки, вы обе правы!"

    Если разрабатывается свой софт, то сдвинуть сроки релиза можно без особых проблем.  Или не сдвигать, но срочно после релиза выкатить патч, посмотрите на релизы ААА-игр, постоянно так делают.
    Если софт разрабатывается под заказчика, с которым контракт, где прописаны сроки и неустойки, то проект-менеджер разрабов с говном съест, но сроки сдвигать ему нельзя. Или нужно эти сроки сдвига согласовывать. И зарплатный фонд разрабам на следующий месяц тоже согласовывать...

    Все зависит от модели разработки.

     
  • 4.31, Аноним (31), 23:11, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, ну. То-то MS свой мессенджер делают таким амном с 2017 какого-то года.

    7 лет попивали из чашки этот продукт и - не порвали юзеры на кусочки. Красивый фасад и маркетинг сильно людей сбивают с правильного на популярное.

     
     
  • 5.41, Аноним (-), 00:38, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Messenger уже давно нет, ну по крайней мере уже давно не видел кто его использует. Skype они купили у русских разработчиков вероятнее всего из-за клиентов, но внутри там уже давно Lynx, как и в их продукте Teams - мессенджер для корпорастов. Они порой забивают на свои подделия, потом через время вспоминают и доделывают или переделывают на каких-нибудь новых технологиях или подходах, а порой вообще не забывают, а просто продукт-менеджмент позиционирует как другой продукт.
     
     
  • 6.48, Аноним (48), 03:22, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > купили у русских разработчиков

    Ничего не путаешь?

     
  • 6.53, Аноним (53), 04:05, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    боюсь тебя расстроить, но под капотом у нынешнего Скайпа - электрон
     
     
  • 7.55, Аноним (55), 05:56, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > боюсь тебя расстроить, но под капотом у нынешнего Скайпа - электрон

    Все к чему прикасается MS, превращается в ... примерно одно и то же. Скайп продолбал все преимущества, так что про него все и забыли уже. И похрен народу что там за teams или что. Гитхаб тоже, вот, загадили. Был просто сервис для разработчиков, с удобным UI и проч. Стало аляповатое тормозное кривое уг постоянно пытающееся всучить какие-то сервисы и создающее массу неудобств. Ну народ оттуда и сваливает ударными темпами.

     
     
  • 8.57, Аноним (57), 08:09, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Всеми перечисленными Вами программами и сервисами не пользуюсь, но я благодарен ... текст свёрнут, показать
     
     
  • 9.71, Аноним (-), 14:05, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Офигенная благодарность - мол, могли не только выпороть кнутом, но и убить Како... текст свёрнут, показать
     
  • 8.78, _ (??), 17:12, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    стало просто data для обучения их AI Думаешь почему их junior coder Co-P... текст свёрнут, показать
     
  • 5.43, Аноним (43), 00:51, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И всё-же думаю что популярное всё-же тяжелее сделать правильного, иначе за это не платили бы больших денег. Можно подумать что мессенджеры, почта и социальные сети это высокие технологии. Там информация и клиенты важнее этих технологий.
     
  • 4.42, Аноним (-), 00:46, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У разных компаний применяются разные подходы и учитесь как-то друг-друга уважать. То что вы делаете обесценивает и унижает опыт другого человека. Напомню что есть именитые западные компании выкатывают на рынок как можно быстрее сырые продукты, так как их стратегия в том чтобы снять сливки со свободной ниши где видят большие деньги в виду отсутствия конкуренции. Выше вот вспомнили Microsoft. Я лично работал в компаниях где применялся и ваш и подход выше. И не вижу причин для того чтобы друг к другу по хамски относиться.
     
     
  • 5.69, Аноним (-), 11:51, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На этом форуме Ну ок, ладно, постараюсь Неа, я просто честно говорю, что он ... большой текст свёрнут, показать
     
  • 4.76, YetAnotherOnanym (ok), 16:53, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Небось, ещё и премию тебе регулярно выписывает, когда сроки срываешь - за честность. Воображаемые менеджеры - они такие, да.
     
  • 4.77, _ (??), 17:06, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Если я говорю менеджеру "код не готов, если мы релизнем так, то нас юзеры на кусочки порвут и рейтинг аппы будет на нуле", то он спрашивает "на сколько нужно сдвинуть релиз?".

    ... и начинает искать тебе замену... :)
    Про бонусы и ништяки тоже всё понятно.
    Велком то рЫал лайф, Лео :)

     
  • 3.35, нах. (?), 23:27, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > менеджер говорил что код должен быть вчера

    Getting the things done!

    Не забудь вписать в резюме!

    (васяны не могут не в силу недостатка опыта, а потому что их по дороге к коммунизму никто кормить не намерен)

     
     
  • 4.56, Аноним (56), 06:04, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > (васяны не могут не в силу недостатка опыта, а потому что их по дороге
    > к коммунизму никто кормить не намерен)

    ХЫхы, нафиг Getting Things Done! Вот поныть и выдать более 9000 отмазок на тему почему FAIL - это тема. Жаль что при этом все почему-то приходит - ну вот к тому.

     
     
  • 5.68, нах. (?), 11:05, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > ХЫхы, нафиг Getting Things Done! Вот поныть и выдать более 9000 отмазок

    ну конечно, штаны надо расстегивать, изучать какие-то пуговки, молнии, еще ремень какой-то зачем-то придумали, некогда, некогда - пффффффф - вот, thing done! Не снимая штанов.

    Только вот с точки зрения окружающих - ты просто обо...ся.

     
     
  • 6.72, Аноним (-), 14:08, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > ну конечно, штаны надо расстегивать, изучать какие-то пуговки, молнии, еще ремень какой-то
    > зачем-то придумали, некогда, некогда - пффффффф - вот, thing done! Не
    > снимая штанов.

    Ну так есть же ты. Выйдешь с невозмутимым выражением лица на сцену, объяснишь публике что все так и задумано, придумав более 9000 отмазок на тему почему это - хорошо и правильно а те кто делает как-то иначе лошпеды, и вообще!

    > Только вот с точки зрения окружающих - ты просто обо...ся.

    А ты с точки зрения окружающих мало того что обтекаешь, так еще и уверенно вещаешь что д@рьмо в штанах - так и задумано! А кто не так - вообще не в тренде. Хы.

     

  • 1.5, Walker (??), 19:22, 12/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Я в шоке! И мне ещё предлогали перенести все свои проекты с GitHub на эту платформу...
     
     
  • 2.6, Аноним (6), 19:27, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Бизнес, ничего личного.
     
  • 2.7, Someone (??), 19:27, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Можно подумать, что есть разница.
     
     
  • 3.36, нах. (?), 23:27, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ты что - дальтоник?! Красный от оранжевого не отличаешь?

     
     
  • 4.45, anonymos (?), 01:34, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Правильно звучит так:
    "Ты что, дальтоник скрипач? Зеленый цвет, от оранжевого, отличить не можешь?"
     

  • 1.12, Аноним (12), 20:19, 12/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Они что, писать вообще не умеют? Одну уязвимость могу понять. Ну две. Ну три. Но семнадцать мля! Причем это обычная GitLab-related новость, то есть такое стабильно раз в месяц мля.
     
     
  • 2.14, Аноним (14), 20:23, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Пишут, как отцы!

    Достаточно вспомнить такие шедевры, как BIND, ProFTPD, Exim, OpenSMTPD, чтобы понять — решётчатость является непременным атрибутом софта с большими претензиями.

     
     
  • 3.16, Аноним (16), 20:26, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Достаточно вспомнить такие шедевры, как BIND, ProFTPD, Exim, OpenSMTPD, чтобы понять — решётчатость является непременным атрибутом софта с большими претензиями.

    И что это доказывает? А почему ты postfix, dovecot и vsftpd не привел в пример?

     
     
  • 4.17, Аноним (14), 20:36, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И что это доказывает?

    Что глупость человеческая существует столько же, сколько человечество.

    > А почему ты postfix, dovecot и vsftpd не привел в пример?

    Они не такие амбициозные. Ребята просто писали хороший код, потому что им было по фану. Чего не скажешь про "титанов" (гитлаб и перечисленные мной выше).

     
     
  • 5.64, Аноним (64), 10:03, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > dovecot и vsftpd не привел в пример?
    >> Они не такие амбициозные.

    Да что ты говоришь?
    DOVECOT The Secure IMAP server is an excellent choice
    vsftpd - very secure FTP daemon

     
     
  • 6.67, нах. (?), 11:03, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > DOVECOT The Secure IMAP server is an excellent choice
    > vsftpd - very secure FTP daemon

    и списочек cve на два экрана.

     
  • 4.19, neo one (?), 20:42, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >postfix, vsftpd

    простенькие. а гитлаб оверинжиниринг на оверинжиниринге, достаточно под капот заглянуть.
    хотя особых альтернатив нет

     
     
  • 5.37, Аноним (14), 23:29, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > хотя особых альтернатив нет

    Gitea/Forgejo. Но CI у них зачаточный, что не так уж и плохо — можно прикрутить отдельно то, что больше нравится, от олдскульного Jenkins до новомодного Tekton.

     
  • 5.44, Аноним (44), 01:31, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > postfix
    > простенький

    с тобой всё предельно ясно.

     
     
  • 6.74, Аноним (74), 15:22, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    он предельно простенький
     
  • 5.73, Аноним (16), 14:50, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Тут ведь считается, что если на Си хеллоу-в-рот написать, то там все классы ошибок будут собраны. А вот есть сетевой сервис, получающий и обрабатывающий данные из недоверенных источников и при этом написанный на Си - это по-твоему простенький?
     
     
  • 6.79, _ (??), 17:35, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Для малышей карапузов - шокирующая ноаость!
    GitLab не написан на Си ...

    Он написан на языке который "безопасТно управляет памятью"(С), не не на расте, да .... :)

     
  • 2.20, Аноним (20), 20:49, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это же руби, чего ты хотел?
     
     
  • 3.22, Аноним (22), 21:10, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    На С же всегда хороший код без дырок пишется
     
     
  • 4.27, Аноним (20), 22:22, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > На С же всегда хороший код без дырок пишется

    Да не, просто у руби такая слава намного хуже пхп уже и каждый раз подтверждается.

     
     
  • 5.33, Аноним (31), 23:16, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не в языке дело. А в размере и заточенности на интерес простых, вместо сути. Дело в методах разработки продукта.

    У них постоянно что-либо не работает. Мат-пере-мат, пока добъёшься от приложения нужного. Какое-то ни к селу ни на деревню остроумие баловства магией опциями, вместо того, чтоб просто сделать логичное.

     
     
  • 6.40, Аноним (14), 23:34, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Не в языке дело.

    Речь идёт не о прямой причинно-следственной связи, а о корреляции определённых языков с низкой культурой разработки. Такие связи складываются исторически, когда люди без опыта и желания разбираться хватают не глядя модный на тот момент инструмент, осваивают несколько простейших приемов и бегут пилить проекты, ничему не учась.

    PHP и Ruby — достаточно характерные примеры таких "концентраторов". Это не обязательно говорит о "плохости" самого языка как инструмента — он мог просто оказаться "не в том месте не в то время".

     

  • 1.13, Аноним (13), 20:22, 12/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И что тут такого? В ялре линукса каждый день исправляют десяток уязвимостей, и ничего, Земля не сходит со своей оси.
     
     
  • 2.15, Аноним (14), 20:24, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В данном случае, как видите, тоже не сошла :)
     

  • 1.18, Аноним (18), 20:38, 12/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    некоторые проекты, чувствительные к безопасности, с помпой ликвидировали trac, перейдя на GitLab.
     
     
  • 2.24, Аноним (3), 21:19, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Совпадение? Точно совпадение.
     
     
  • 3.29, Аноним (29), 22:39, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Их заранее предупреждали это не делать, аккуратно предсказав последствия.
     
     
  • 4.49, Аноним (48), 03:29, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Trac мог ещё десять лет тянуть с релизом новой ветки.

    Эти хотя бы дырки регулярно закрывают.

     
     
  • 5.59, нах. (?), 08:45, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    если твой проект уже использует trac - значит та ветка которую ты выбрал десять лет назад - вполне тебя устраивала. Что, чорд побери, у тебя в проекте случилось за эти десять лет что тебе наимоднявейшее подавай?

    Нового стикерпака не хватало, он срочно нужен для еще более быстрого тяпляпа?

    > Эти хотя бы дырки регулярно закрывают.

    вместо того чтоб их не создавать.

    Ну ок, все при деле - ты бесконечно апгрейдишься на новые еще более улучшенные версии, васяны потихоньку майнят.
    (это не фигура речи - приходилось починять такое. Причем - закрытый контур, чтоб попасть на машинку, понадобился энидеск, мать его, захожу с чужого экрана на хост - а там... там-тадам, зоопарк червяков, уже друг-друга жрут. Владельцы заметили только когда что-то поломалось настолько что через вебморду уже не пускало.)

     
  • 2.70, Аноним (-), 11:53, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это тот самый trac, у которого сейчас 1000+ открытых issue?
    Можно конечно сидеть на какой-то некроверсии и мириться с багами.
    Или даже самостоятельно бекпортить..

    А работать когда?

     

  • 1.21, Аноним (21), 20:59, 12/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    А чем git+ssh+email не устраивает?
     
     
  • 2.23, Аноним (3), 21:18, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет дыр
     
  • 2.28, Аноним (28), 22:31, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Нужны смузи в виде формочек, веб гуйни и всяких свистоперделок с непрерывной интегрцией.
     
  • 2.32, Аноним (32), 23:15, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Сложна
     
  • 2.34, Аноним (31), 23:19, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Надо документацию читать на API продуктов. В голове уметь скрипт придумать.

    А тут на халяву GUI и интеграция с костылями - API можно не учить, скрипты - тоже, т.к. на YAML такая каша, что ничем не спасти. Счастье тёплого болотца обуревает.

     
  • 2.38, нах. (?), 23:29, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    тем что дальше хеловрота не работает.

     
     
  • 3.63, Аноним (16), 10:01, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    с разработкой ядра как-то работает
     
     
  • 4.66, нах. (?), 11:02, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > с разработкой ядра как-то работает

    тоже нет. ssh на свой хост Б-жок с Пальцем тебе предоставлять не собирается. Вооон туда иди там вебмордочка для тебя, если ты ну ооооочень из уважаемых.

    Потом порежь помельче, и с биением челом подай все равно в рассылку. В ней тебе пятьдесят раз предложат исправить color на colour и обратно, а remote root не заметят, это надо ж код читать, там некому и некогда.

    Если повезет - через годик Б-жок оттопыренным пальчиком твой патч (не забудь двести раз переписать под все более новый шта6ле нонсенс) и выложит на лопате остальным.

    Такой вот dvcs.

    Живет только и исключительно потому что денег у ibm - немеряно.


     

  • 1.26, penetrator (?), 21:54, 12/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    An issue was discovered in GitLab CE/EE affecting all versions starting from 8.14 prior to 17.1.7, starting from 17.2 prior to 17.2.5, and starting from 17.3 prior to 17.3.2, which allows an attacker to trigger a pipeline as an arbitrary user under certain circumstances.

    Мне пофиг, у меня запустить pipeline может только тот кто пишет protected tag / branch, т.е. тот у кого и так есть эти привилегии.

    Это плохо для публичного гитлаба. Для собственного инстанса во многих случаях некритично.

     
     
  • 2.39, нах. (?), 23:32, 12/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    мы конечно рады, что твой завод окружен заборчиком, но, боюсь, у нас не будут рады если аффтары нужного и важного сайта "25.5лет компании ххх" исполняющего корпоративный гимн при открытии странички со снежинками (или что это там - я хз) внезапно смогут исполнить какого-то своего кота в контексте системы документооборота с доступом к ПД половины рассеян.

    (разумеется, в реале не смогут, потому что ее гитлаб вообще в другом и изолированном контуре. Ну просто потому что мы примерно догадывались про его безопастность - еще на этапе внедрения этой чуши.)

     
     
  • 3.61, анон (?), 10:00, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем внедрять "чушь"? Инвалидность мозга?
     
     
  • 4.65, нах. (?), 10:58, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А зачем внедрять "чушь"? Инвалидность мозга?

    затем что разработчинкам нужно ci/cd и вот ето вот всьо.
    И других разработчиков у меня для вас давным-давно уже нет.


     

  • 1.46, Аноним (46), 02:28, 13/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Странное название статьи. Я уверен, что в гитлабе больше семьнадцати уязвимостей.
     
     
  • 2.58, Аноним (57), 08:13, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Эти были последние.
     
     
  • 3.62, анон (?), 10:01, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Последние - это после которых ничего нет, но это не про гитлаб
     
     
  • 4.80, _ (??), 17:41, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда - крайние :)
     

  • 1.60, Ося Бендер (?), 08:52, 13/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Они-же вроде кому-то продались. Наверно долго отмечали продажу, за кодом перестали следить, сочувствую...
    Ничего сейчас инвестор даст по щам и исправят свои косяки.
    Хейтерам надо расслабиться.
     
     
  • 2.81, Аноним (81), 21:13, 13/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    вроде только собрались продаваться, и начали уязвимости находить одну за другой. много попросили?
     

  • 1.75, Аноним (-), 16:11, 13/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    17 друзей GitLab.
     
  • 1.83, zog (??), 18:18, 17/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вроде бы уже находили серьёзные уязвимости в GitLab. И вот опять?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру