Выпущены (https://about.gitlab.com/2016/05/02/cve-2016-4340-patches/) внеплановые корректирующие обновления платформы для организации совместной разработки  GitLab  8.7.1, 8.6.8, 8.5.12, 8.4.10, 8.3.9 и 8.2.5, в которых устранена критическая уязвимость (CVE-2016-4340), позволяющая поднять свои привилегии в системе. Проблема присутствует в режиме "impersonate", появившемся в  GitLab 8.2, и позволяет (https://gitlab.com/gitlab-org/gitlab-ce/issues/15548) любому аутентифицированному пользователю войти в систему под другим пользователем, в том числе под администратором.

В качестве обходных способов для блокирования уязвимости можно добавить в настройки /etc/gitlab/gitlab.rb строку

<font color="#461b7e">
nginx['custom_gitlab_server_config'] = "location ^~ /admin/users/stop_impersonation { deny all; }\n"

</font>

и перезапустить GitLab ("sudo gitlab-ctl reconfigure") или заблокировать доступ к обработчику /admin/users/stop_impersonation на уровне http-сервера:

<font color="#461b7e">
Nginx:
   location ^~ /admin/users/stop_impersonation { deny all; }

Apache:
    ‹LocationMatch "^/admin/users/stop_impersonation"›
     Order Deny,Allow
     Deny from all
    ‹/LocationMatch›

HAProxy:
   acl is_stop_impersonation  path_beg         /admin/users/stop_impersonation
   acl is_delete method DELETE
   http-request deny if is_delete is_stop_impersonation

</font>

Кроме того, в новых выпусках устранено ещё несколько уязвимостей: повышение привилегий через notes API (можно добавить произвольное примечание к любому запросу на изменение или сообщению), повышение привилегий через webhook API (можно читать и удалять webhooks приватных проектов), четыре XSS-уязвимости (межсайтовый скриптинг) и четыре утечки закрытой информации.

URL: https://about.gitlab.com/2016/05/02/cve-2016-4340-patches/
Новость: https://www.opennet.ru/opennews/art.shtml?num=44364

• В GitLab устранена критическая уязвимость,vitalif, 10:54 , 03-Май-16
  • В GitLab устранена критическая уязвимость,Анончег, 22:26 , 03-Май-16
• В GitLab устранена критическая уязвимость,Аноним, 11:09 , 03-Май-16
  • В GitLab устранена критическая уязвимость,Аноним, 16:06 , 03-Май-16
    • В GitLab устранена критическая уязвимость,Аноним, 17:27 , 03-Май-16
  • В GitLab устранена критическая уязвимость,бедный буратино, 05:30 , 04-Май-16
• В GitLab устранена критическая уязвимость,й, 12:35 , 03-Май-16
  • В GitLab устранена критическая уязвимость,Аноним, 13:48 , 03-Май-16
    • В GitLab устранена критическая уязвимость,й, 14:36 , 03-Май-16
• В GitLab устранена критическая уязвимость,Аноним, 16:24 , 03-Май-16
  • В GitLab устранена критическая уязвимость,Анончег, 22:28 , 03-Май-16
    • В GitLab устранена критическая уязвимость,Аноним, 18:05 , 06-Май-16
      • В GitLab устранена критическая уязвимость,Анончег, 21:59 , 06-Май-16
  • В GitLab устранена критическая уязвимость,freehck, 11:54 , 04-Май-16
    • В GitLab устранена критическая уязвимость,бедный буратино, 12:16 , 04-Май-16
      • В GitLab устранена критическая уязвимость,Аноним, 01:01 , 06-Май-16
      • В GitLab устранена критическая уязвимость,freehck, 17:59 , 11-Май-16
• В GitLab устранена критическая уязвимость,бедный буратино, 05:33 , 04-Май-16

в линкоре обнаружена дыра размером с линкор

> "В GitLab устранена критическая уязвимость"

Так, так, тень Столлмана намедни всем ГитХХХ буковки присваивала, а ГитЛаб какую буковку получил?

Неужели Д?

Фонд СПО продолжает советовать GitLab, более того он поднял рейтинг GitLab до уровня "A+" (https://www.opennet.ru/opennews/art.shtml?num=44313 ) так как GitLab теперь обеспечивает полную свободу доступа.

GitLab отнесён к категории "C"

XXL fastfood

ну, когда любой может стать администратором - это, разумеется, высшая форма свободы. долой дискриминацию по правам юзеров! права администратора в каждый аккаунт!

дырка смешная, да. есть ли self-hosted альтернативы, кроме gogs и gitweb?

https://en.wikipedia.org/wiki/Kallithea_%28software...

Говорят оно глючное, однако юзерам гитлаба не привыкать.

а там точно есть git over ssh? дока только про hg говорит.

git over ssh - есть, и over http(https)

Говорят, на солнце пятна :)

как по мне, система очень неплоха и удобна, уже года 3 пользуемся.
для небольшой команды вполне. (большой команды пока нет, протестировать не можем).

> ...(большой команды пока нет, протестировать не можем).

Как будет не забудь сообщить результаты, ждём.

А Вы следите за нашими успехами?

> А Вы следите за нашими успехами?

После таких громогласных заявлений стали следить, причём с большим интересом.

У нас команда порядка 40 человек. Пользуемся GitLab, работает стабильно, нареканий нет.

> У нас команда порядка 40 человек. Пользуемся GitLab, работает стабильно, нареканий нет.

... и все поголовно администраторы в белых штанах... :)

В малиновых же. :)

Не совсем. Теперь я - администратор в белых штанах. :)

если бы там ещё иссуи были. да и громоздкое оно. самое кучерявое - это fossil, маленький но вёрткий! с тех пор, как от предустановленных тем перестало хотеться спрятаться в глубокий-глубокий погреб, с ним можно жить.