forum.opennet.ru - "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в GitLab" (15)

"Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в GitLab"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в GitLab"	+/–
Сообщение от opennews (??), 19-Сен-24, 22:56
Опубликованы корректирующие обновления платформы для организации совместной разработки GitLab - 17.3.3, 17.2.6 и 17.1.8, в которых устранена критическая уязвимость, позволяющая обойти аутентификацию на базе SAML (Security Assertion Markup Language). Проблема вызвана уязвимостью (CVE-2024-45409) в Ruby-библиотеках ruby-saml и omniauth-saml, реализующих клиентскую часть SAML-авторизации. Уязвимости присвоен максимальный уровень опасности 10 из 10. Проблема устранена в обновлениях пакетов ruby-saml (1.17.0 и 1.12.3) и omniauth-saml (2.2.0)... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61893
Ответить \| Правка \| Cообщить модератору

Оглавление

уже вышел 17 4 0по умолчанию SAML выключен, penetrator (?), 00:00 , 20-Сен-24, (4)
tl dr, Аноним (5), 02:15 , 20-Сен-24, (5)
Самая большая ошибка гитлаба состоит в том, что у них есть руби в стеке , Аноним (9), 06:50 , 20-Сен-24, (9) –2

На Руби вообще много чего полностью или частично написано GitHub, AirBnb, Twitt, Аноним (16), 13:47 , 20-Сен-24, (16)

в твиттере руби давно нет , Аноним (17), 14:06 , 20-Сен-24, (17)

Есть ли какое-то доказательство этому Пруфлинк, например , Аноним (27), 11:11 , 23-Сен-24, (27)

Оно и на Реакт-Натив писало Но с заморочками уровня джавы вроде всё размазывать, Бывалый Смузихлёб (ok), 12:24 , 21-Сен-24, (25)

Вообще-то AirBnb - проект успешный и многомилионный Твои попытки его залажать д, Аноним (27), 11:22 , 23-Сен-24, (28)

Он условно-успешный, но не касательно ИТ - у него по сути иная ниша, связанная с, Бывалый Смузихлёб (ok), 14:19 , 24-Сен-24, (29)

Гитлаб шикарная замена гитхаба А главное свободная говорили они Предыдущая, Аноним (-), 09:24 , 20-Сен-24, (11)

Для любителей Microsuxx а вон там кто-то запилил новую версию microsuxx captcha , Аноним (23), 22:03 , 20-Сен-24, (23)

Так уязвимость не в GitLab а библиотеке, которую они использую В новом выпуске , Аноним (12), 11:07 , 20-Сен-24, (12) +1

Не виноватые мы уязвимости сами пришли А то что мы за деньжищи продаём дырявый , Аноним (13), 11:16 , 20-Сен-24, (13) –1

Ну вот вам, нормальная уязвимость здорового человека поправил запрос и залогини, Аниним (?), 09:52 , 21-Сен-24, (24)
Обновления вышли и для 17 0 8, 16 11 10 Не что, почему в новости об этом не ука, Аноним (26), 12:25 , 21-Сен-24, (26)

Сообщения [Сортировка по времени | RSS]

4. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..." +/–

Сообщение от penetrator (?), 20-Сен-24, 00:00

уже вышел 17.4.0
по умолчанию SAML выключен

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..." +/–

Сообщение от Аноним (5), 20-Сен-24, 02:15

tl;dr
> Ignore Postel. When it comes to processing cryptographic signatures, loosey-goosey isn’t “liberal”, it’s libertine.

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..." –2 +/–

Сообщение от Аноним (9), 20-Сен-24, 06:50

Самая большая ошибка гитлаба состоит в том, что у них есть руби в стеке.

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..." +/–

Сообщение от Аноним (16), 20-Сен-24, 13:47

На Руби вообще много чего полностью или частично написано. GitHub, AirBnb, Twitter, Kickstarter, etc. А уязвимости есть в библиотеках на любых языках.

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..." +/–

Сообщение от Аноним (17), 20-Сен-24, 14:06

в твиттере руби давно нет.

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..." +/–

Сообщение от Аноним (27), 23-Сен-24, 11:11

Есть ли какое-то доказательство этому? Пруфлинк, например.

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..." +/–

Сообщение от Бывалый Смузихлёб (ok), 21-Сен-24, 12:24

> AirBnb
Оно и на Реакт-Натив писало. Но с заморочками уровня джавы вроде всё размазывать по отдельным файлам и каталогам разной вложенности. В итоге, со своими "рекомендациями" по типизации и ограничениям настолько свой проект перегрузили, что он стал совершенно неподдерживаемым даже исходной командой и они тупо свалили на несколько различных проектов и разбились на несколько команд.
Хотя их убогий проект не подразумевал большой производительности( как игра, где было бы реально вспомнить про игровые движки ) или чего-то ещё.
Там совершенно примитивнейшая бизнес-работа( аля банальные "бинес-приложения" с формами и кнопками ), которое с их "ценными советами"(тм)
оказалось перегружено до полной неподдерживаемости
И теперь иной анон подобную мусорную контору показывает в качестве примера ?)

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

28. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..." +/–

Сообщение от Аноним (27), 23-Сен-24, 11:22

> убогий проект
Вообще-то AirBnb - проект успешный и многомилионный. Твои попытки его залажать довольно смешны. Ты может когда-нибудь создал проект такого масштаба? Сомневаюсь что-то.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..." +/–

Сообщение от Бывалый Смузихлёб (ok), 24-Сен-24, 14:19

> Вообще-то AirBnb - проект успешный и многомилионный. Твои попытки его залажать довольно
> смешны. Ты может когда-нибудь создал проект такого масштаба? Сомневаюсь что-то.
Он условно-успешный, но не касательно ИТ - у него по сути иная ниша, связанная с арендой. Но с подобным успехом оно бы и через аналог авито или яндекс-недвижимость работало бы. Регулярные отсылки у него к конкретным технологиям тупо не имеют смысла.
Условно и прочее - т.к, учитывая его "славный" кидок пользователей РФ( а ведь эта свинья даже предоплаты за жильё не захотела возвращать как минимум абсолютному большинству ) - ничего хорошего про это упоминать невозможно. Как и про любого иного серийного вора и жулика, кинувшего простых людей на десятки-сотни кило рублей. Запланировал отпуск, оплатил жильё. "Извините, но идите в ж*, мы сливаемся, ни копейки вам не вернём, хотя ничего за них не сделали но и арендодателю не передали, т.е тупо положили себе в карман"

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..." +/–

Сообщение от Аноним (-), 20-Сен-24, 09:24

"Гитлаб шикарная замена гитхаба! А главное свободная!" говорили они)))
Предыдущая новость про уязвимости была 12.09.2024
Там наверное такой классный код, что можно каждую неделю что-то находить :)

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..." +/–

Сообщение от Аноним (23), 20-Сен-24, 22:03

Для любителей Microsuxx'а вон там кто-то запилил новую версию microsuxx captcha'и, докажи что ты не робот, отпаравь смску^W^W нажми Win+R :)) https://www.opennet.ru/openforum/vsluhforumID3/134858.html
При том видимо на гитхабе и винде остались совсем уж овощи, раз ТАКОЕ еще и работает.

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..." +1 +/–

Сообщение от Аноним (12), 20-Сен-24, 11:07

Так уязвимость не в GitLab а библиотеке, которую они использую. В новом выпуске положили свежую либу... К коду GitLab это отношении не имеет.

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..." –1 +/–

Сообщение от Аноним (13), 20-Сен-24, 11:16

Не виноватые мы уязвимости сами пришли. А то что мы за деньжищи продаём дырявый продукт так это мы не виноваты...а вы виноваты что им пользуетесь...

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..." +/–

Сообщение от Аниним (?), 21-Сен-24, 09:52

Ну вот вам, нормальная уязвимость здорового человека: поправил запрос и залогинился в любого пользователя. Сохраню в коллекцию чтобы потом знатокам всяким совать. Сасибо опенет!

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..." +/–

Сообщение от Аноним (26), 21-Сен-24, 12:25

Обновления вышли и для 17.0.8, 16.11.10. Не что, почему в новости об этом не указано

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

4. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..."	+/–
Сообщение от penetrator (?), 20-Сен-24, 00:00
уже вышел 17.4.0 по умолчанию SAML выключен
Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..."	+/–
Сообщение от Аноним (5), 20-Сен-24, 02:15
tl;dr > Ignore Postel. When it comes to processing cryptographic signatures, loosey-goosey isn’t “liberal”, it’s libertine.
Ответить \| Правка \| Наверх \| Cообщить модератору

9. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..."	–2 +/–
Сообщение от Аноним (9), 20-Сен-24, 06:50
Самая большая ошибка гитлаба состоит в том, что у них есть руби в стеке.
Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..."	+/–
	Сообщение от Аноним (16), 20-Сен-24, 13:47
	На Руби вообще много чего полностью или частично написано. GitHub, AirBnb, Twitter, Kickstarter, etc. А уязвимости есть в библиотеках на любых языках.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..."	+/–
	Сообщение от Аноним (17), 20-Сен-24, 14:06
	в твиттере руби давно нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..."	+/–
	Сообщение от Аноним (27), 23-Сен-24, 11:11
	Есть ли какое-то доказательство этому? Пруфлинк, например.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..."	+/–
	Сообщение от Бывалый Смузихлёб (ok), 21-Сен-24, 12:24
	> AirBnb Оно и на Реакт-Натив писало. Но с заморочками уровня джавы вроде всё размазывать по отдельным файлам и каталогам разной вложенности. В итоге, со своими "рекомендациями" по типизации и ограничениям настолько свой проект перегрузили, что он стал совершенно неподдерживаемым даже исходной командой и они тупо свалили на несколько различных проектов и разбились на несколько команд. Хотя их убогий проект не подразумевал большой производительности( как игра, где было бы реально вспомнить про игровые движки ) или чего-то ещё. Там совершенно примитивнейшая бизнес-работа( аля банальные "бинес-приложения" с формами и кнопками ), которое с их "ценными советами"(тм) оказалось перегружено до полной неподдерживаемости И теперь иной анон подобную мусорную контору показывает в качестве примера ?)
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору


	28. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..."	+/–
	Сообщение от Аноним (27), 23-Сен-24, 11:22
	> убогий проект Вообще-то AirBnb - проект успешный и многомилионный. Твои попытки его залажать довольно смешны. Ты может когда-нибудь создал проект такого масштаба? Сомневаюсь что-то.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..."	+/–
	Сообщение от Бывалый Смузихлёб (ok), 24-Сен-24, 14:19
	> Вообще-то AirBnb - проект успешный и многомилионный. Твои попытки его залажать довольно > смешны. Ты может когда-нибудь создал проект такого масштаба? Сомневаюсь что-то. Он условно-успешный, но не касательно ИТ - у него по сути иная ниша, связанная с арендой. Но с подобным успехом оно бы и через аналог авито или яндекс-недвижимость работало бы. Регулярные отсылки у него к конкретным технологиям тупо не имеют смысла. Условно и прочее - т.к, учитывая его "славный" кидок пользователей РФ( а ведь эта свинья даже предоплаты за жильё не захотела возвращать как минимум абсолютному большинству ) - ничего хорошего про это упоминать невозможно. Как и про любого иного серийного вора и жулика, кинувшего простых людей на десятки-сотни кило рублей. Запланировал отпуск, оплатил жильё. "Извините, но идите в ж*, мы сливаемся, ни копейки вам не вернём, хотя ничего за них не сделали но и арендодателю не передали, т.е тупо положили себе в карман"
	Ответить \| Правка \| Наверх \| Cообщить модератору

11. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..."	+/–
Сообщение от Аноним (-), 20-Сен-24, 09:24
"Гитлаб шикарная замена гитхаба! А главное свободная!" говорили они))) Предыдущая новость про уязвимости была 12.09.2024 Там наверное такой классный код, что можно каждую неделю что-то находить :)
Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..."	+/–
	Сообщение от Аноним (23), 20-Сен-24, 22:03
	Для любителей Microsuxx'а вон там кто-то запилил новую версию microsuxx captcha'и, докажи что ты не робот, отпаравь смску^W^W нажми Win+R :)) https://www.opennet.ru/openforum/vsluhforumID3/134858.html При том видимо на гитхабе и винде остались совсем уж овощи, раз ТАКОЕ еще и работает.
	Ответить \| Правка \| Наверх \| Cообщить модератору

12. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..."	+1 +/–
Сообщение от Аноним (12), 20-Сен-24, 11:07
Так уязвимость не в GitLab а библиотеке, которую они использую. В новом выпуске положили свежую либу... К коду GitLab это отношении не имеет.
Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..."	–1 +/–
	Сообщение от Аноним (13), 20-Сен-24, 11:16
	Не виноватые мы уязвимости сами пришли. А то что мы за деньжищи продаём дырявый продукт так это мы не виноваты...а вы виноваты что им пользуетесь...
	Ответить \| Правка \| Наверх \| Cообщить модератору

24. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..."	+/–
Сообщение от Аниним (?), 21-Сен-24, 09:52
Ну вот вам, нормальная уязвимость здорового человека: поправил запрос и залогинился в любого пользователя. Сохраню в коллекцию чтобы потом знатокам всяким совать. Сасибо опенет!
Ответить \| Правка \| Наверх \| Cообщить модератору

26. "Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в ..."	+/–
Сообщение от Аноним (26), 21-Сен-24, 12:25
Обновления вышли и для 17.0.8, 16.11.10. Не что, почему в новости об этом не указано
Ответить \| Правка \| Наверх \| Cообщить модератору