Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Захват контроля над уязвимыми серверами GitLab для вовлечения в проведение DDoS-атак, opennews (ok), 05-Ноя-21, (0) [смотреть все] Вот поэтому я люблю ставить новые версии по мере появления, Enamel (ok), 23:22 , 05-Ноя-21, (1) –5 // Бустерные версии раз в полгода Ради общества , pashev.me (?), 23:24 , 05-Ноя-21, (4) +3 // У вас сертификат поддельный Наш тест показал это с достоверностью 99 Пройдите, альтернативно одаренный разработчик (?), 23:30 , 05-Ноя-21, (6) +7 Ну да И по полгода торчать с новой уязвимостью, пока её не пофиксят Проверенны, anonymous (??), 23:56 , 05-Ноя-21, (9) +1 // На тот момент также была проверена , Аноним (44), 13:16 , 06-Ноя-21, (44) // Поэтому стоило подождать ещё дольше Использовать не вчерашнюю версию, а трёх-че, anonymous (??), 15:41 , 06-Ноя-21, (61) А я люблю, во-первых, не регать домен, а прописывать его в hosts Во-вторых, доба, Ковидл атеист (?), 01:12 , 06-Ноя-21, (12) –4 // Зачем вы врете localhost в hosts уже прописан, а зарегистртровать данный домен , ПомидорИзДолины (?), 03:48 , 06-Ноя-21, (21) +4 // Однажды найдётся тот, кто сможет, и вам всем хана , Аноним (24), 04:34 , 06-Ноя-21, (24) +1 Ты однажды не прошел себеседование Сказал, что твой hosts лежит тут c windows , Ковидл атеист (?), 09:43 , 06-Ноя-21, (26) –2 Я извиняюсь, а синкать этот hosts как Не боитесь, что хост, с которого синхрони, YetAnotherOnanym (ok), 11:01 , 06-Ноя-21, (30) // Не надо нагонять фантастической отсебятины, попробуй дочитать до конца, то что н, Ковидл атеист (?), 12:21 , 06-Ноя-21, (38) –1 Компрометация учётной записи сотрудника Нет, не слышали Взлом личного ПК сотру, YetAnotherOnanym (ok), 13:48 , 06-Ноя-21, (46) Это называется с кем угодно только не со мной , шайтан (?), 15:10 , 06-Ноя-21, (55) Т е ты не в состоянии осознать, что от риска невозможно избавиться совсем, а ли, Ковидл атеист (?), 15:11 , 06-Ноя-21, (56) –1 Не надо проецировать , YetAnotherOnanym (ok), 18:01 , 06-Ноя-21, (68) Не надо вступать в диалог, если ты не способен донести свои мысли до собеседника, Ковидл атеист (?), 01:55 , 07-Ноя-21, (76) Это твои проблемы , YetAnotherOnanym (ok), 10:48 , 07-Ноя-21, (77) ты свою глупость с hosts озвучивай еще на предварительном этапе - не придется со, пох. (?), 16:18 , 06-Ноя-21, (64) +2 // Чтобы кого-то собеседовать, нужно чтобы тебя сперва позвали проводить собеседова, Ковидл атеист (?), 16:35 , 06-Ноя-21, (65) –1 Ну вот тебе оказали, а ты чужое время даром тратишь если не нафантазировал, что, пох. (?), 16:45 , 06-Ноя-21, (66) +1 Правка hosts это пафосно, да Гордо зашел в etc Добавь, на опеннете пригодится х, Ковидл атеист (?), 01:40 , 07-Ноя-21, (75) Что за контора Напиши, чтобы не ходить на собес к таким гениям , Аноним (70), 18:19 , 06-Ноя-21, (70) +2 Не знал, что в секту админов локалхоста собеседования проводят 8230 Думал они , Антним (?), 23:04 , 07-Ноя-21, (83) Кривые руки разработчиков ни при чём , pashev.me (?), 23:23 , 05-Ноя-21, (3) +8   // Абсолютно И зависимости всего от всего, как и сама идея в систему для ревью кода, альтернативно одаренный разработчик (?), 23:29 , 05-Ноя-21, (5) +1   // https www freebsd org cgi ports cgi query gitlab-ce stype allбедные админы, та, Sw00p aka Jerom (?), 01:48 , 06-Ноя-21, (17)   // модераторы забаньте ету ссылку пожалуйста она опасна для психического равновесия, Михрютка (ok), 11:40 , 06-Ноя-21, (33) +2   А что это значит , Растоманя (ok), 14:30 , 06-Ноя-21, (51) –1   зависимости всего от всего Правда, у bsd pkg есть особенность - показывать те, ч, пох. (?), 16:17 , 06-Ноя-21, (63)   безобидная ссылка, кошмар когда после установки сделать pkg info , Sw00p aka Jerom (?), 14:31 , 06-Ноя-21, (52)   Ну так напишите альтернативу ExifTool, с дамами и оптимизациями, охватив хотя бы, Аноним (19), 01:58 , 06-Ноя-21, (19)   // альтернативу exiftool для использования в гитшлаке можно написать вот так bin , пох. (?), 12:12 , 06-Ноя-21, (37)   Вот - да Г-б имеет право на фанатов и существование, но как кусок софта - решени, Анто Нимно (?), 14:48 , 06-Ноя-21, (54)   хрен знает мы не разработчики поэтому может просто слишком мелко для него плава, пох. (?), 15:29 , 06-Ноя-21, (59)   dude получи свой экземпляр RCE и радуйся безоблачной жизни дальше , Михрютка (ok), 10:50 , 06-Ноя-21, (29)   Можно подумать, вдумчиво отобранная библиотека гарантированно на 100 свободна о, YetAnotherOnanym (ok), 11:16 , 06-Ноя-21, (32)   Уязвимость то по факту в 3rd party, kai3341 (ok), 10:41 , 06-Ноя-21, (27) –1   // Но ответственность за её проявление в GitLab целиком на разработчиках GitLab, ко, Аноним (31), 11:09 , 06-Ноя-21, (31) +2   // Как должны были поступить разработчики gitlab Предложите план действий Не нрави, kai3341 (ok), 12:03 , 06-Ноя-21, (35)   пойти вон из профессии научиться кодить или пойти вон из профессии exiftool писа, пох. (?), 12:09 , 06-Ноя-21, (36) –5   ясно-понятно, kai3341 (ok), 18:13 , 06-Ноя-21, (69)   Как минимум сразу дропнуть нафиг запрос от хрен пойми кого, а не пытаться обраба, Аноним (42), 12:40 , 06-Ноя-21, (42) +1   мир просто еще не понял что им управляют прагматичные русские, у которых каждый , Аноним (43), 12:56 , 06-Ноя-21, (43)   Ты не задумывался ради чего назначаются виновные Какой в этом смысл Один из отв, Ordu (ok), 23:34 , 06-Ноя-21, (74)   // За каждое действие нужно нести ответственность, как повашему кто несет большую о, Sw00p aka Jerom (?), 11:47 , 07-Ноя-21, (78)   // мораль сей басни такова, виновный всегда найдеться, а ответственность не несет т, Sw00p aka Jerom (?), 11:49 , 07-Ноя-21, (79)   Работает - не трогай, да посоны , Аноним (7), 23:39 , 05-Ноя-21, (7) // Все верно, только у адекватов, подобные сервисы не торчат опой наружу - типа зах, Ковидл атеист (?), 01:28 , 06-Ноя-21, (14) +2 // если убрать табличку минное поле , то можно разбивать кемпинг и детскую площадк, Аноним (43), 12:27 , 06-Ноя-21, (40) // конечно Заодно и мины сработают - вот и почистили , пох. (?), 13:55 , 06-Ноя-21, (47) Как-то с аналогией совсем все плохо Адекватно выстроить когруг забор от свободно, Ковидл атеист (?), 15:30 , 06-Ноя-21, (60) Пора включать в олимпийские виды спорта прыжки на грабли, Тот самый (?), 00:41 , 06-Ноя-21, (10) –2 Что за безобразие Почему какой-то там гитлаб решает что эти теги лишние Какой , Аноним (11), 00:43 , 06-Ноя-21, (11) –2 // Можно подумать, что там только один криворукий, а все остальные - няши https g, Аноним (13), 01:15 , 06-Ноя-21, (13) +1 Шикарно Наговнокодить дырень эпических размеров, залатать её и сидеть молчать в , Аноним (42), 01:36 , 06-Ноя-21, (16) +2 // Ты как бы когда берешь софт, всегда его используешь на свой страх и риск И как б, Ковидл атеист (?), 01:53 , 06-Ноя-21, (18) +1 // а шваль за соседним столом будет тихо лыбиться в бороденку И никакими, дурачок, пох. (?), 12:22 , 06-Ноя-21, (39) +1 // 1 Откуда у швали с бородой токены к запросам 2 Похоже в моем тексте ты увидел, Ковидл атеист (?), 12:39 , 06-Ноя-21, (41) +1 а ты как думаешь нет, гуанософта в мире дохрена Это вовсе не означает что надо , пох. (?), 13:57 , 06-Ноя-21, (48) Мифический персонаж с бородой это плод твоей фантазии, ты и объясняй откуда у не, Ковидл атеист (?), 15:22 , 06-Ноя-21, (58) +2 Уязвимость в GitLab, позволяющая определить версию установленного ПО ftfy, Аноним (20), 02:01 , 06-Ноя-21, (20) Очередная победа свободы , Аноним (22), 04:00 , 06-Ноя-21, (22) –3 // Очередной фанатик несвободы, Аноним (80), 20:33 , 07-Ноя-21, (80) И на затравочку ЗАТОНЕГИТХАБ, Аноним (22), 04:01 , 06-Ноя-21, (23) –4 // ЗАТОНЕ ГИТХАБ Чеб ему тонуть , ыы (?), 14:18 , 06-Ноя-21, (49) А вот GitFlic неуязвим , Аноним (73), 19:01 , 06-Ноя-21, (73) даже не знаю, с чего начать, все такое вкусное во-первых, очередное стопятьсотое, Михрютка (ok), 10:42 , 06-Ноя-21, (28) +1 // Новые люди рождаются каждый день и так же каждый день появляются новые программи, Аноним (80), 20:35 , 07-Ноя-21, (81) и просто вдогонку GitLab прекращает использование имени master по умолчанию 11, Михрютка (ok), 11:54 , 06-Ноя-21, (34) +2 // Теперь будет black master , Растоманя (ok), 14:37 , 06-Ноя-21, (53) –1 Запретили мастер, теперь все заходят через черную дыру, Аноним (44), 13:25 , 06-Ноя-21, (45) // BHM , шайтан (?), 15:18 , 06-Ноя-21, (57) Вся суть опенсорса - сторонняя библиотека, с открытым кодом, который никто и не , Аноним (70), 18:21 , 06-Ноя-21, (71) –1 // Это называется квалификация Только не та что теоремы да формулы в голове как ош, Аноним (-), 04:21 , 10-Ноя-21, (84) Как это работает if elseeval args process start args , Аноним (72), 18:45 , 06-Ноя-21, (72) 1,3,7,10,11,16,20,22,23,28,34,45,71,72

Сообщения

[Сортировка по времени | RSS]

3. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."	+8 +/–
Сообщение от pashev.me (?), 05-Ноя-21, 23:23
> Халатное отношение администраторов Кривые руки разработчиков ни при чём.
Ответить | Правка | Наверх | Cообщить модератору

	5. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."	+1 +/–
	Сообщение от альтернативно одаренный разработчик (?), 05-Ноя-21, 23:29
	Абсолютно! И зависимости всего от всего, как и сама идея в систему для ревью кода пихать обработку jpeg не jpeg на базе первой попавшей под руку библиотечки - тоже непричем. Это все плохие, плохие админы, не ставящие каждый день новую версию, только что из под хвоста выпавшую (ну и что что она базу похерила? Зато уязвимость исправлена! И две но...ой. ну я уже исправил же ж!)
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."	+/–
	Сообщение от Sw00p aka Jerom (?), 06-Ноя-21, 01:48
	https://www.freebsd.org/cgi/ports.cgi?query=gitlab-ce&stype=all бедные админы, такую кучу апдейтить :)
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."	+2 +/–
	Сообщение от Михрютка (ok), 06-Ноя-21, 11:40
	> https://www.freebsd.org/cgi/ports.cgi?query=gitlab-ce&stype=all > бедные админы, такую кучу апдейтить :) модераторы забаньте ету ссылку пожалуйста она опасна для психического равновесия случайно накликанное по ссылке: Requires: <blablabla>rubygem-sshkey-2.0.0<blablabla> rubygem-sshkey-2.0.0     Generate private/public SSH keypairs using pure Ruby     Requires: <blablabla>indexinfo-0.3.1<blablabla> indexinfo-0.3.1     Utility to regenerate the GNU info page index теперь и вы это увидели. живите теперь с этим. PS утром увиденное на HN Creating a simple React app with create-react-app makes us fetch an absolutely absurd amount of code, files and folders under node_modules: Size: 138 MB (145 255 382 bytes) Size on disk: 181 MB (190 013 440 bytes) Contains: 35 894 Files, 5 503 Folders тут не исправить уже ничего, Господь, жги!
	Ответить | Правка | Наверх | Cообщить модератору

	51. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."	–1 +/–
	Сообщение от Растоманя (ok), 06-Ноя-21, 14:30
	А что это значит?
	Ответить | Правка | Наверх | Cообщить модератору

	63. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."	+/–
	Сообщение от пох. (?), 06-Ноя-21, 16:17
	зависимости всего от всего. Правда, у bsd pkg есть особенность - показывать те, что получаются если все делать по-умолчанию, никак это не комментируя. После ручных правок конфига оно иногда резко снижает аппетит. Но часто гораздо большего можно добиться правкой мэйкфайлов, просто повыбрасывав оттуда половину содержимого *DEPENDS Пока у меня оставались еще фряхи в не-следовом количестве, примерно так это и делалось. Экономило терабайты траффика.
	Ответить | Правка | Наверх | Cообщить модератору

	52. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."	+/–
	Сообщение от Sw00p aka Jerom (?), 06-Ноя-21, 14:31
	>модераторы забаньте ету ссылку безобидная ссылка, кошмар когда после установки сделать pkg info :)
	Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

	19. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."	+/–
	Сообщение от Аноним (19), 06-Ноя-21, 01:58
	> на базе первой попавшей под руку библиотечки Ну так напишите альтернативу ExifTool, с дамами и оптимизациями, охватив хотя бы графические форматы :) На безопасном Rust, конечно, бо на ржавом из под хвостов почти ничего и не вываливается - всё в головах...
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	37. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."	+/–
	Сообщение от пох. (?), 06-Ноя-21, 12:12
	альтернативу exiftool для использования в гитшлаке можно написать вот так: /bin/false Потому что она там вообще НАХРЕН не нужна. А если бы даже и была нужна - для того, что оно там делает - я тебе такую альтернативу напишу на shell+od. Но макакам платят не за умение выбирать инструменты и не за умение правильно их использовать.
	Ответить | Правка | Наверх | Cообщить модератору

	54. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."	+/–
	Сообщение от Анто Нимно (?), 06-Ноя-21, 14:48
	> Потому что она там вообще НАХРЕН не нужна. Вот - да. Г-б имеет право на фанатов и существование, но как кусок софта - решение многогранное с признаками ненужного плохого. Кому неосмотрительно нравится - на здоровье. Но сам по себе содержит много, из-за чего не стал бы использовать (в т.ч. выставление ультиматумов заплатившим  пользователям) и не рекомендую подсаживаться на Г.
	Ответить | Правка | Наверх | Cообщить модератору

	59. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."	+/–
	Сообщение от пох. (?), 06-Ноя-21, 15:29
	хрен знает (мы не разработчики поэтому может просто слишком мелко для него плаваем) - но лично я в нем вообще не увидел причин его использовать во внутренней разработке. То есть чудище обло, озорно, стожопно и в дырьях, а полезного выхлопа около нуля. Все попытки его использовать были в режиме "ну нам же нужна какая-то авторизация и иерархия цвета штанов для доступа к гит репам!" - разумеется, это ровно то для чего он вообще не предназначен. А те кому надо было именно совместную работу с кодом - ревью/ci/прочую чухню для команды - те даже не рассматривают, с чего бы это...
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."	+/–
	Сообщение от Михрютка (ok), 06-Ноя-21, 10:50
	>>>ExifTools >>>первой попавшей под руку библиотечки dude. >>>Это все плохие, плохие админы, не ставящие каждый день новую версию, только что из под хвоста выпавшую (ну и что что она базу похерила? Зато уязвимость исправлена! получи свой экземпляр RCE и радуйся безоблачной жизни дальше.
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	32. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."	+/–
	Сообщение от YetAnotherOnanym (ok), 06-Ноя-21, 11:16
	> на базе первой попавшей под руку библиотечки Можно подумать, вдумчиво отобранная библиотека гарантированно на 100% свободна от багов.
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	27. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."	–1 +/–
	Сообщение от kai3341 (ok), 06-Ноя-21, 10:41
	> Кривые руки разработчиков ни при чём. Уязвимость то по факту в 3rd party
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	31. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."	+2 +/–
	Сообщение от Аноним (31), 06-Ноя-21, 11:09
	Но ответственность за её проявление в GitLab целиком на разработчиках GitLab, которые сумели приплести в зависимости код с низкопробной репутацией в области безопасности. Про передачу загруженных без аутентификации файлов монстру, который выбирает обработчик по заголовкам, а не расширению файла я вообще молчу.
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."	+/–
	Сообщение от kai3341 (ok), 06-Ноя-21, 12:03
	> которые сумели приплести в зависимости код с низкопробной репутацией в области безопасности Как должны были поступить разработчики gitlab? Предложите план действий. Не нравится exiftool? Что использовать вместо него?
	Ответить | Правка | Наверх | Cообщить модератору

	36. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."	–5 +/–
	Сообщение от пох. (?), 06-Ноя-21, 12:09
	> Как должны были поступить разработчики gitlab? пойти вон из профессии. > Не нравится exiftool? Что использовать вместо него? научиться кодить или пойти вон из профессии. exiftool писали из соображения что его к своим exif'ам применяет владелец файла. А не что его в скрипте вызывают абы для чего для любого невалидированного мусора.
	Ответить | Правка | Наверх | Cообщить модератору

	69. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."	+/–
	Сообщение от kai3341 (ok), 06-Ноя-21, 18:13
	> пойти вон из профессии. > научиться кодить или пойти вон из профессии. ясно-понятно
	Ответить | Правка | Наверх | Cообщить модератору

	42. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."	+1 +/–
	Сообщение от Аноним (42), 06-Ноя-21, 12:40
	>Как должны были поступить разработчики gitlab? Предложите план действий. Как минимум сразу дропнуть нафиг запрос от хрен пойми кого, а не пытаться обрабатывать присланные им фоточки. Даже без относительно наличия уязвимости - какого черта этот мусор вообще куда-то передается и обрабатывается? Зачем они тратят ресурсы на обработку заведомо мусорного запроса?
	Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

	43. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."	+/–
	Сообщение от Аноним (43), 06-Ноя-21, 12:56
	мир просто еще не понял что им управляют прагматичные русские, у которых каждый угол научно обоснован
	Ответить | Правка | Наверх | Cообщить модератору

	74. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."	+/–
	Сообщение от Ordu (ok), 06-Ноя-21, 23:34
	>> Халатное отношение администраторов > Кривые руки разработчиков ни при чём. Ты не задумывался ради чего назначаются виновные? Какой в этом смысл? Один из ответов на этот вопрос: задача вины указать на того, кому в будущем следует изменить своё поведение, дабы не повторять ситуацию. Администраторы, которые ждут, что в софте в их серверах не найдут никогда дыр -- главные кандидаты на то, чтобы менять своё поведение. Программистам тоже следует быть внимательнее, но это "следует" говорят и пытаются привести во исполнение уже чуть ли не сто лет, и до сих пор никому не удаётся. Обвиняй программистов, не обвиняй программистов -- от этого ничего не меняется. С тем же успехом ты можешь обвинять гравитацию в том, что стоило тебе только шагнуть с обрыва, как она тебя разогнала вниз и ударила больно о камни: эти обвинения не приведут к тому, что в следующий раз гравитация поступит иначе. Программисты со своей стороны сделали всё возможное: баг-репорт приняли, выкатили патч, и с тех пор уже полгода прошло. Или ты предпочитаешь другой ответ? Может задача вины указать на того, кто будет платить за повреждения? Но разработчики GitLab написали "WITHOUT ANY WARRANTY OF ANY KIND". А значит с них все взятки гладки. А в целом, если тебе интересен вопрос назначения вины, то глянь сюда: https://en.wikipedia.org/wiki/Proximate_and_ultimate_causation И ещё можно сюда: https://en.wikipedia.org/wiki/Proximate_cause или сюда: https://en.wikipedia.org/wiki/Why%E2%80%93bec...
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	78. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."	+/–
	Сообщение от Sw00p aka Jerom (?), 07-Ноя-21, 11:47
	За каждое действие нужно нести ответственность, как повашему кто несет большую ответственность, обезьяна с гранатой, человек оставивший без присмотра обезьяну и гранату, или создатель гранаты, может продавец?
	Ответить | Правка | Наверх | Cообщить модератору

	79. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."	+/–
	Сообщение от Sw00p aka Jerom (?), 07-Ноя-21, 11:49
	мораль сей басни такова, виновный всегда найдеться, а ответственность не несет только дурак или обезьяна.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема