Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Критическая уязвимость в GitLab, позволяющая запустить pipeline-работы под другим пользователем"	+/–
Сообщение от opennews (??), 19-Сен-23, 23:50
Опубликованы корректирующие обновления платформы для организации совместной разработки - GitLab 16.3.4 и 16.2.7 (Community Edition и Enterprise Edition), в которых устранена критическая уязвимость (CVE-2023-4998), позволяющая запустить работы в конвейере непрерывной интеграции (pipeline jobs) под произвольным пользователем через применение плановых политик сканирования безопасности. Выполнение своей работы в контексте другого пользователя позволяет атакующему получить доступ к внутренним репозиториям и закрытым проектам этого пользователя... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59782
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 19-Сен-23, 23:50	+/–
> Community Edition и Enterprise Edition Нет. В community > плановых политик сканирования безопасности не реализовано, это enterprise feature.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

2. Сообщение от Аноним (2), 19-Сен-23, 23:52	+/–
> Подробности эксплуатации будут опубликованы через месяц после публикации обновления на самом интересно месте...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3

3. Сообщение от YetAnotherOnanym (ok), 20-Сен-23, 02:51	+3 +/–
Терпение, Вилли, терпение. Месяц - это не так уж много, а затраханных начальством админов, у которых руки не доходят вовремя обновляться, всегда найдётся достаточно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #4, #5

4. Сообщение от Sw00p aka Jerom (?), 20-Сен-23, 06:05	+/–
>у которых руки не доходят вовремя обновляться >через применение плановых политик сканирования безопасности. ждемс когда будет бага "через плановое обновление системы"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

5. Сообщение от Аноним (5), 20-Сен-23, 13:30	+/–
> у которых руки не доходят вовремя обновляться, всегда найдётся достаточно Там сейчас модальное окно на каждое открытие гитлаба - "СРОЧНО ОБНОВИСЬ! РЕПОЗИТОРИИ В ОПАСНОСТИ!"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

6. Сообщение от Аноним (-), 20-Сен-23, 21:59	+/–
> является вариацией ранее исправленной похожей проблемы CVE-2023-3932. Только бледнолицый^W ну или какой там раджа насреддин может наступить на одни и те же грабли дважды!
Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Аноним (-), 20-Сен-23, 22:00	+1 +/–
>> плановых политик сканирования безопасности > не реализовано, это enterprise feature. Нормальная энтерпрайзная фича. Просканировали безопасность. Оказалось - FAIL. При том - сразу в сканере безопасности. Шикарно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

8. Сообщение от Аноним (-), 24-Сен-23, 17:07	+/–
А нет ничего живого попроще, чтоб на пыхе/марии крутилось с гитом?))
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема