В корректирующих обновлениях платформы GitHub Enterprise Server 3.12.4, 3.11.10, 3.10.12 и 3.9.15, предназначенной для развёртывания на собственном оборудовании обособленного окружения для совместной разработки на основе технологий GitHub, выявлена уязвимость (CVE-2024-4985), позволяющая получить доступ с правами администратора без прохождения аутентификации. Проблема проявляется только в конфигурациях с единой точкой входа на основе технологии SAML, в которых включено шифрование сообщений от провайдеров идентификации ("encrypted assertions"). По умолчанию данный режим отключён, но преподносится как дополнительная возможность для усиления безопасности, активируемая в настройках "Settings/Authentication/Require encrypted assertions"...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61220
> По умолчанию данный режим отключён,
> но преподносится как дополнительная возможность для усиления безопасностиЭто просто прекрасно.
эпик фейл
Напомню, кличка первой собачки или фамилия по матери, тоже до сих пор для безопаски юзера используется...
Надо по заповедям бородатого жиртреста делать:Шли семидесятые годы, и Ричард Столлман начал замечать изменения в своем любимом заповеднике. Первое нашествие произошло, когда Официально Санкционированным Пользователям стали назначаться пароли, а все неавторизованные пользователи не допускались к системе. Как истинный хакер, РМС презирал пароли, и он гордился тем фактом, что компьютеры, которые он обслуживал, не имели никаких паролей. Но департамент компьютерной науки в МТИ (которым управляли другие люди, не имевшие отношения к лаборатории ИИ) решил установить на его машине систему безопасности.
Столлман поднял целую кампанию, чтобы отменить эту практику. Он призывал людей использовать пароль в виде пустой строки — «возврат каретки» вместо целого слова. Так что когда машина спрашивала у вас пароль, вам было достаточно нажать RETURN, и вы могли войти в систему. Столлман также сумел взломать код системы шифрации и сумел расшифровать файл, в котором лежали пароли. Он начал рассылать пользователям сообщения, которые появлялись на экране, после того как они регистрировались в системе:
Я вижу, что вы выбрали пароль [такой-то]. Я предполагаю, что вы можете переключиться на пароль «возврат каретки». Его гораздо легче набирать, и это соответствует принципу, по которому здесь не должно быть паролей.
«В конце концов, я сумел добиться, чтобы пятая часть пользователей на машине имела пустой пароль», — хвастался потом РМС.
Clouds - это надежно, scale on demand )))SSO - это централизованный надежный способ аутенфикации )))
Docker - безопасность, изоляция и отличное управление ресурсами )))
Не не, никакого оверхеда и усложнения технического решения, все просто тяп-ляп и в продакшен )))
Все это в умелых руках решает массу проблем, в основном организационных, но и технических тоже. В руках неумелых никаких не решает и добавляет оверхед на всех уровнях.
массой там даже и не пахнет, при том одно лечим, другое калечим, так еще и платим по барски за этот банкет
> Все это в умелых руках решает массу проблем, в основном организационных, но
> и технических тоже. В руках неумелых никаких не решает и добавляет
> оверхед на всех уровнях.да что ж такое, не прошло и полдня, и опять чьи-то "неумелые" руки
Fluent Bit насчитывает более 10 миллиардов внедрений и применяется для обработки и сбора логов и метрик во многих компаниях и облачных платформах, например, среди пользователей отмечаются Google Cloud, AWS, DigitalOcean, vmWare, Cisco, Microsoft, Lyft, LinkedIn, Walmart, Couchbase, Swift и Dell. В течение марта было загружено 13 млн Docker-образов с Fluent Bit. По данным компании Tenable, выявившей уязвимости, многие облачные сервисы не блокируют доступ к Web API для получения внутренних метрик, таких как uptime, и для обработки обращений к подобным API используется Fluent Bit.
Кто хотел свой маааленький обособленный житик ? А не идти на поклон к мелкомягким ?
Ни разу не видел, чтобы в работе использовали житхаб es. А уж для себя так вообще бред.
Спасибо, понятно где аноним доселе работал (точнее где никогда не работал).
> Ни разу не видел, чтобы в работе использовали житхаб es.Заметно, по тому как вы его называние, устоящийся акторим - GHE. А ES что то с Испанией было бы связано.
Администрирую несколько GHE и GitLab и GitLab инстансов. С GHE всегда сложности, т.к. он установлен официальным способом через образы для VM. А GitLab в Docker развернут, гораздо проще обновлять, бекапить и т.д.
Долой авторизации и аутентификации! Даёшь свободу и равенство!
> Долой авторизации и аутентификации! Даёшь свободу и равенство!А что мешает гит инстальнуть? Там ничего этого нет - внезапно :). И вот можно системой контроля версий пользоваться бесплатно, без смс и даже одобрение шефа на комит можно не спрашивать. Я проверял!
Ну да - только сама СКВ нужна вот примерно "никому" - нужна система организации совместной работы с CI\CD, ишью, пр\ревью, репозиторий артефактов, аутентификация-авторизация, интеграцией с системой управления проектами и вот это все.
А вот собственно git - не то, чтобы совсем не нужен - но использующих git в коммерческой разработке без соответствующей обвязки я не то, чтобы "за последние 10 лет" - а вот просто "не видел".
>за последние 10 летТы забыл вычесть из этого срока старшие классы, чувак. Если твою ошибку исправить, всё встанет на свои места
>>за последние 10 лет
> Ты забыл вычесть из этого срока старшие классы, чувак. Если твою ошибку
> исправить, всё встанет на свои местаНу, ты конечно же приведешь пример организаций, использующих в своей работе голый git, ведь да? Да?
Весь этот обвес в действительности не необходим. Он нужен манагерам. Программерам нужен из всей этой дряни только гит. Выкатка по коммиту в ветку со сборкой на тег latest - это ультрахрень, карго традиции веб мартышек. Сама выкатка должна быть автоматизирована, безусловно, но к коммитам это привязывать никакой необходимости.
Ну и конечно нет никакой проблемы хук подвесить на bare репозиторий, который будет на коммит в ветку делать clone/docker build push run. Скрипт из 10 строчек. Логика ваших энтерпрайзных комбайнов укладывается в это вполне.
Добавление комментика в джиру при коммите еще одним скриптом в 10 строк.>использующих git в коммерческой разработке без соответствующей обвязки я не то, чтобы "за последние 10 лет" - а вот просто "не видел"
"Тут так принято"
Ну, что я могу сказать? Единственный широкоизвестный мне пример использования git'а в голом (Ммммм... относительно) виде - разработка linux kernel'а, но это прям настолько хтонический ужас, что тиражировать данный "бест практис" дураков тьфу-тьфу-тьфу не нашлось. Самое смешное, что те, что есть - в общем-то ни ci\cd ни регрессионное тестирование того-этого - ниасилили-с.
А так да-да, конечно - нет никаких причин не использовать для разработки голый git, но по какой-то неведомой (Масоны или рептилоиды?) причине - его не используют. Чудеса.
> Проблема проявляется только в конфигурациях с единой точкой входа на основе технологии SAML,А, что? Атакующему тоже централизация удобно оказалась?! Надо же! :)
> в которых включено шифрование сообщений от провайдеров идентификации ("encrypted
> assertions"). По умолчанию данный режим отключён, но преподносится как
> дополнительная возможность для усиления безопасности,Ну так написано же - это не баг, это фича. Видите, все зашифровано, централизовано, безопасТнее просто некуда. Расслабьтесь и получайте удовольствие.
Энтерпрайзненько
Однозначно бэкдор.
В принципе, любой софт от корпораций, использующийся в чувствительных вещах, где сосредотачиваются данные и управление ими, протроянен с вероятностью 1.
Неа. Просто вебня, она такая вебня, что надёжно не сделает никогда. Ну вот так дано в природе.Причина в ценах и востребованности. В ущерб безопасности лабают продукты, т.к. тогда хомка приносит сам деньги, иногда даже неосознанно.