Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Захват контроля над уязвимыми серверами GitLab для вовлечения в проведение DDoS-атак, opennews (ok), 05-Ноя-21, (0) [смотреть все] Вот поэтому я люблю ставить новые версии по мере появления, Enamel (ok), 23:22 , 05-Ноя-21, (1) –5 // Бустерные версии раз в полгода Ради общества , pashev.me (?), 23:24 , 05-Ноя-21, (4) +3 // У вас сертификат поддельный Наш тест показал это с достоверностью 99 Пройдите, альтернативно одаренный разработчик (?), 23:30 , 05-Ноя-21, (6) +7 Ну да И по полгода торчать с новой уязвимостью, пока её не пофиксят Проверенны, anonymous (??), 23:56 , 05-Ноя-21, (9) +1 // На тот момент также была проверена , Аноним (44), 13:16 , 06-Ноя-21, (44) // Поэтому стоило подождать ещё дольше Использовать не вчерашнюю версию, а трёх-че, anonymous (??), 15:41 , 06-Ноя-21, (61) А я люблю, во-первых, не регать домен, а прописывать его в hosts Во-вторых, доба, Ковидл атеист (?), 01:12 , 06-Ноя-21, (12) –4 // Зачем вы врете localhost в hosts уже прописан, а зарегистртровать данный домен , ПомидорИзДолины (?), 03:48 , 06-Ноя-21, (21) +4 // Однажды найдётся тот, кто сможет, и вам всем хана , Аноним (24), 04:34 , 06-Ноя-21, (24) +1 Ты однажды не прошел себеседование Сказал, что твой hosts лежит тут c windows , Ковидл атеист (?), 09:43 , 06-Ноя-21, (26) –2 Я извиняюсь, а синкать этот hosts как Не боитесь, что хост, с которого синхрони, YetAnotherOnanym (ok), 11:01 , 06-Ноя-21, (30) // Не надо нагонять фантастической отсебятины, попробуй дочитать до конца, то что н, Ковидл атеист (?), 12:21 , 06-Ноя-21, (38) –1 Компрометация учётной записи сотрудника Нет, не слышали Взлом личного ПК сотру, YetAnotherOnanym (ok), 13:48 , 06-Ноя-21, (46) Это называется с кем угодно только не со мной , шайтан (?), 15:10 , 06-Ноя-21, (55) Т е ты не в состоянии осознать, что от риска невозможно избавиться совсем, а ли, Ковидл атеист (?), 15:11 , 06-Ноя-21, (56) –1 Не надо проецировать , YetAnotherOnanym (ok), 18:01 , 06-Ноя-21, (68) Не надо вступать в диалог, если ты не способен донести свои мысли до собеседника, Ковидл атеист (?), 01:55 , 07-Ноя-21, (76) Это твои проблемы , YetAnotherOnanym (ok), 10:48 , 07-Ноя-21, (77) ты свою глупость с hosts озвучивай еще на предварительном этапе - не придется со, пох. (?), 16:18 , 06-Ноя-21, (64) +2 // Чтобы кого-то собеседовать, нужно чтобы тебя сперва позвали проводить собеседова, Ковидл атеист (?), 16:35 , 06-Ноя-21, (65) –1 Ну вот тебе оказали, а ты чужое время даром тратишь если не нафантазировал, что, пох. (?), 16:45 , 06-Ноя-21, (66) +1 Правка hosts это пафосно, да Гордо зашел в etc Добавь, на опеннете пригодится х, Ковидл атеист (?), 01:40 , 07-Ноя-21, (75) Что за контора Напиши, чтобы не ходить на собес к таким гениям , Аноним (70), 18:19 , 06-Ноя-21, (70) +2 Не знал, что в секту админов локалхоста собеседования проводят 8230 Думал они , Антним (?), 23:04 , 07-Ноя-21, (83) Кривые руки разработчиков ни при чём , pashev.me (?), 23:23 , 05-Ноя-21, (3) +8 // Абсолютно И зависимости всего от всего, как и сама идея в систему для ревью кода, альтернативно одаренный разработчик (?), 23:29 , 05-Ноя-21, (5) +1 // https www freebsd org cgi ports cgi query gitlab-ce stype allбедные админы, та, Sw00p aka Jerom (?), 01:48 , 06-Ноя-21, (17) // модераторы забаньте ету ссылку пожалуйста она опасна для психического равновесия, Михрютка (ok), 11:40 , 06-Ноя-21, (33) +2 А что это значит , Растоманя (ok), 14:30 , 06-Ноя-21, (51) –1 зависимости всего от всего Правда, у bsd pkg есть особенность - показывать те, ч, пох. (?), 16:17 , 06-Ноя-21, (63) безобидная ссылка, кошмар когда после установки сделать pkg info , Sw00p aka Jerom (?), 14:31 , 06-Ноя-21, (52) Ну так напишите альтернативу ExifTool, с дамами и оптимизациями, охватив хотя бы, Аноним (19), 01:58 , 06-Ноя-21, (19) // альтернативу exiftool для использования в гитшлаке можно написать вот так bin , пох. (?), 12:12 , 06-Ноя-21, (37) Вот - да Г-б имеет право на фанатов и существование, но как кусок софта - решени, Анто Нимно (?), 14:48 , 06-Ноя-21, (54) хрен знает мы не разработчики поэтому может просто слишком мелко для него плава, пох. (?), 15:29 , 06-Ноя-21, (59) dude получи свой экземпляр RCE и радуйся безоблачной жизни дальше , Михрютка (ok), 10:50 , 06-Ноя-21, (29) Можно подумать, вдумчиво отобранная библиотека гарантированно на 100 свободна о, YetAnotherOnanym (ok), 11:16 , 06-Ноя-21, (32) Уязвимость то по факту в 3rd party, kai3341 (ok), 10:41 , 06-Ноя-21, (27) –1 // Но ответственность за её проявление в GitLab целиком на разработчиках GitLab, ко, Аноним (31), 11:09 , 06-Ноя-21, (31) +2 // Как должны были поступить разработчики gitlab Предложите план действий Не нрави, kai3341 (ok), 12:03 , 06-Ноя-21, (35) пойти вон из профессии научиться кодить или пойти вон из профессии exiftool писа, пох. (?), 12:09 , 06-Ноя-21, (36) –5 ясно-понятно, kai3341 (ok), 18:13 , 06-Ноя-21, (69) Как минимум сразу дропнуть нафиг запрос от хрен пойми кого, а не пытаться обраба, Аноним (42), 12:40 , 06-Ноя-21, (42) +1 мир просто еще не понял что им управляют прагматичные русские, у которых каждый , Аноним (43), 12:56 , 06-Ноя-21, (43) Ты не задумывался ради чего назначаются виновные Какой в этом смысл Один из отв, Ordu (ok), 23:34 , 06-Ноя-21, (74) // За каждое действие нужно нести ответственность, как повашему кто несет большую о, Sw00p aka Jerom (?), 11:47 , 07-Ноя-21, (78) // мораль сей басни такова, виновный всегда найдеться, а ответственность не несет т, Sw00p aka Jerom (?), 11:49 , 07-Ноя-21, (79) Работает - не трогай, да посоны , Аноним (7), 23:39 , 05-Ноя-21, (7) // Все верно, только у адекватов, подобные сервисы не торчат опой наружу - типа зах, Ковидл атеист (?), 01:28 , 06-Ноя-21, (14) +2 // если убрать табличку минное поле , то можно разбивать кемпинг и детскую площадк, Аноним (43), 12:27 , 06-Ноя-21, (40) // конечно Заодно и мины сработают - вот и почистили , пох. (?), 13:55 , 06-Ноя-21, (47) Как-то с аналогией совсем все плохо Адекватно выстроить когруг забор от свободно, Ковидл атеист (?), 15:30 , 06-Ноя-21, (60) Пора включать в олимпийские виды спорта прыжки на грабли, Тот самый (?), 00:41 , 06-Ноя-21, (10) –2 Что за безобразие Почему какой-то там гитлаб решает что эти теги лишние Какой , Аноним (11), 00:43 , 06-Ноя-21, (11) –2 // Можно подумать, что там только один криворукий, а все остальные - няши https g, Аноним (13), 01:15 , 06-Ноя-21, (13) +1 Шикарно Наговнокодить дырень эпических размеров, залатать её и сидеть молчать в , Аноним (42), 01:36 , 06-Ноя-21, (16) +2 // Ты как бы когда берешь софт, всегда его используешь на свой страх и риск И как б, Ковидл атеист (?), 01:53 , 06-Ноя-21, (18) +1 // а шваль за соседним столом будет тихо лыбиться в бороденку И никакими, дурачок, пох. (?), 12:22 , 06-Ноя-21, (39) +1 // 1 Откуда у швали с бородой токены к запросам 2 Похоже в моем тексте ты увидел, Ковидл атеист (?), 12:39 , 06-Ноя-21, (41) +1 а ты как думаешь нет, гуанософта в мире дохрена Это вовсе не означает что надо , пох. (?), 13:57 , 06-Ноя-21, (48) Мифический персонаж с бородой это плод твоей фантазии, ты и объясняй откуда у не, Ковидл атеист (?), 15:22 , 06-Ноя-21, (58) +2 Уязвимость в GitLab, позволяющая определить версию установленного ПО ftfy, Аноним (20), 02:01 , 06-Ноя-21, (20) Очередная победа свободы , Аноним (22), 04:00 , 06-Ноя-21, (22) –3 // Очередной фанатик несвободы, Аноним (80), 20:33 , 07-Ноя-21, (80) И на затравочку ЗАТОНЕГИТХАБ, Аноним (22), 04:01 , 06-Ноя-21, (23) –4 // ЗАТОНЕ ГИТХАБ Чеб ему тонуть , ыы (?), 14:18 , 06-Ноя-21, (49) А вот GitFlic неуязвим , Аноним (73), 19:01 , 06-Ноя-21, (73) даже не знаю, с чего начать, все такое вкусное во-первых, очередное стопятьсотое, Михрютка (ok), 10:42 , 06-Ноя-21, (28) +1   // Новые люди рождаются каждый день и так же каждый день появляются новые программи, Аноним (80), 20:35 , 07-Ноя-21, (81)   и просто вдогонку GitLab прекращает использование имени master по умолчанию 11, Михрютка (ok), 11:54 , 06-Ноя-21, (34) +2 // Теперь будет black master , Растоманя (ok), 14:37 , 06-Ноя-21, (53) –1 Запретили мастер, теперь все заходят через черную дыру, Аноним (44), 13:25 , 06-Ноя-21, (45) // BHM , шайтан (?), 15:18 , 06-Ноя-21, (57) Вся суть опенсорса - сторонняя библиотека, с открытым кодом, который никто и не , Аноним (70), 18:21 , 06-Ноя-21, (71) –1 // Это называется квалификация Только не та что теоремы да формулы в голове как ош, Аноним (-), 04:21 , 10-Ноя-21, (84) Как это работает if elseeval args process start args , Аноним (72), 18:45 , 06-Ноя-21, (72) 1,3,7,10,11,16,20,22,23,28,34,45,71,72

Сообщения

[Сортировка по времени | RSS]

28. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."	+1 +/–
Сообщение от Михрютка (ok), 06-Ноя-21, 10:42
даже не знаю, с чего начать, все такое вкусное. во-первых, очередное стопятьсотое последнее китайское напоминание - не суй в eval() нечищеный ввод от пользователя. во-вторых, настройки этого гитлаб комбайна по умолчанию доставляют: A few months ago one of our customers found two suspicious user accounts with admin rights on its Internet-exposed GitLab CE server, and asked us to investigate what it looked like a security incident. Here’s what we found: 1) Between June and July 2021, two users were registered with random-looking usernames. This was possible because this version of GitLab CE permits user registration by default. Moreover, the email address specified during the registration phase isn’t verified by default, thus the newly created user is automatically logged on without any further steps. In addition, no notifications are sent to the administrators. прикольно, когда такое счастье торчит голым восьмидесятым портом в интернеты, да? там, наверное, етот олень^Wкастомер еще и админский пароль adminadmin не поменял. третье, патч для этой дыры был доступен с апреля, CVE опубликована в мае, експлоет для дыры доступен на гитхабе с июня, гитлабовское сесурити раздупляется постом "Action needed" в ноябре, когда уже новость о ботнете из гитлаб инсталляций на первой странице HN засветилась. 30 тысяч аленей^Wадминов етих гитлабов не знают про дыру до сих пор, и им норм. кто вообще читает ети устаревшие рассылки ети релиз нотесы с от такими большими буквами "GitLab Critical Security Release", только такие старые пердуны, как я. /rant
Ответить | Правка | Наверх | Cообщить модератору

	81. "Захват контроля над уязвимыми серверами GitLab для вовлечени..."	+/–
	Сообщение от Аноним (80), 07-Ноя-21, 20:35
	Новые люди рождаются каждый день и так же каждый день появляются новые программисты, это для тебя стопятьсотое последнее китайское напоминание, а для них --- это первый раз.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема