URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 131557
[ Назад ]
Исходное сообщение
"Критическая уязвимость в GitLab, позволяющая запустить pipeline-работы под другим пользователем"
Отправлено opennews , 19-Сен-23 23:50
Опубликованы корректирующие обновления платформы для организации совместной разработки - GitLab 16.3.4 и 16.2.7 (Community Edition и Enterprise Edition), в которых устранена критическая уязвимость (CVE-2023-4998), позволяющая запустить работы в конвейере непрерывной интеграции (pipeline jobs) под произвольным пользователем через применение плановых политик сканирования безопасности. Выполнение своей работы в контексте другого пользователя позволяет атакующему получить доступ к внутренним репозиториям и закрытым проектам этого пользователя...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59782
Содержание
- Критическая уязвимость в GitLab, позволяющая запустить pipel...,Аноним, 23:50 , 19-Сен-23
- Критическая уязвимость в GitLab, позволяющая запустить pipel...,Аноним, 22:00 , 20-Сен-23
- Критическая уязвимость в GitLab, позволяющая запустить pipel...,Аноним, 23:52 , 19-Сен-23
- Критическая уязвимость в GitLab, позволяющая запустить pipel...,YetAnotherOnanym, 02:51 , 20-Сен-23
- Критическая уязвимость в GitLab, позволяющая запустить pipel...,Sw00p aka Jerom, 06:05 , 20-Сен-23
- Критическая уязвимость в GitLab, позволяющая запустить pipel...,Аноним, 13:30 , 20-Сен-23
- Критическая уязвимость в GitLab, позволяющая запустить pipel...,Аноним, 21:59 , 20-Сен-23
- Критическая уязвимость в GitLab, позволяющая запустить pipel...,Аноним, 17:07 , 24-Сен-23
Сообщения в этом обсуждении
"Критическая уязвимость в GitLab, позволяющая запустить pipel..."
Отправлено Аноним , 19-Сен-23 23:50
> Community Edition и Enterprise EditionНет. В community
> плановых политик сканирования безопасности
не реализовано, это enterprise feature.
"Критическая уязвимость в GitLab, позволяющая запустить pipel..."
Отправлено Аноним , 20-Сен-23 22:00
>> плановых политик сканирования безопасности
> не реализовано, это enterprise feature.Нормальная энтерпрайзная фича. Просканировали безопасность. Оказалось - FAIL. При том - сразу в сканере безопасности. Шикарно.
"Критическая уязвимость в GitLab, позволяющая запустить pipel..."
Отправлено Аноним , 19-Сен-23 23:52
> Подробности эксплуатации будут опубликованы через месяц после публикации обновленияна самом интересно месте...
"Критическая уязвимость в GitLab, позволяющая запустить pipel..."
Отправлено YetAnotherOnanym , 20-Сен-23 02:51
Терпение, Вилли, терпение. Месяц - это не так уж много, а затраханных начальством админов, у которых руки не доходят вовремя обновляться, всегда найдётся достаточно.
"Критическая уязвимость в GitLab, позволяющая запустить pipel..."
Отправлено Sw00p aka Jerom , 20-Сен-23 06:05
>у которых руки не доходят вовремя обновляться
>через применение плановых политик сканирования безопасности.ждемс когда будет бага "через плановое обновление системы"
"Критическая уязвимость в GitLab, позволяющая запустить pipel..."
Отправлено Аноним , 20-Сен-23 13:30
> у которых руки не доходят вовремя обновляться, всегда найдётся достаточноТам сейчас модальное окно на каждое открытие гитлаба - "СРОЧНО ОБНОВИСЬ! РЕПОЗИТОРИИ В ОПАСНОСТИ!"
"Критическая уязвимость в GitLab, позволяющая запустить pipel..."
Отправлено Аноним , 20-Сен-23 21:59
> является вариацией ранее исправленной похожей проблемы CVE-2023-3932.Только бледнолицый^W ну или какой там раджа насреддин может наступить на одни и те же грабли дважды!
"Критическая уязвимость в GitLab, позволяющая запустить pipel..."
Отправлено Аноним , 24-Сен-23 17:07
А нет ничего живого попроще, чтоб на пыхе/марии крутилось с гитом?))