форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В GitLab устранена критическая уязвимость"	+/–
Сообщение от opennews (ok) on 03-Май-16, 10:54
Выпущены (https://about.gitlab.com/2016/05/02/cve-2016-4340-patches/) внеплановые корректирующие обновления платформы для организации совместной разработки  GitLab  8.7.1, 8.6.8, 8.5.12, 8.4.10, 8.3.9 и 8.2.5, в которых устранена критическая уязвимость (CVE-2016-4340), позволяющая поднять свои привилегии в системе. Проблема присутствует в режиме "impersonate", появившемся в  GitLab 8.2, и позволяет (https://gitlab.com/gitlab-org/gitlab-ce/issues/15548) любому аутентифицированному пользователю войти в систему под другим пользователем, в том числе под администратором. В качестве обходных способов для блокирования уязвимости можно добавить в настройки /etc/gitlab/gitlab.rb строку <font color="#461b7e"> nginx['custom_gitlab_server_config'] = "location ^~ /admin/users/stop_impersonation { deny all; }\n" </font> и перезапустить GitLab ("sudo gitlab-ctl reconfigure") или заблокировать доступ к обработчику /admin/users/stop_impersonation на уровне http-сервера: <font color="#461b7e"> Nginx:    location ^~ /admin/users/stop_impersonation { deny all; } Apache:     ‹LocationMatch "^/admin/users/stop_impersonation"›      Order Deny,Allow      Deny from all     ‹/LocationMatch› HAProxy:    acl is_stop_impersonation  path_beg         /admin/users/stop_impersonation    acl is_delete method DELETE    http-request deny if is_delete is_stop_impersonation </font> Кроме того, в новых выпусках устранено ещё несколько уязвимостей: повышение привилегий через notes API (можно добавить произвольное примечание к любому запросу на изменение или сообщению), повышение привилегий через webhook API (можно читать и удалять webhooks приватных проектов), четыре XSS-уязвимости (межсайтовый скриптинг) и четыре утечки закрытой информации. URL: https://about.gitlab.com/2016/05/02/cve-2016-4340-patches/ Новость: https://www.opennet.ru/opennews/art.shtml?num=44364
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по ответам | RSS]

	1. "В GitLab устранена критическая уязвимость"	+5 +/–
	Сообщение от vitalif (ok) on 03-Май-16, 10:54
	в линкоре обнаружена дыра размером с линкор
	Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "В GitLab устранена критическая уязвимость"	+8 +/–
	Сообщение от Аноним (??) on 03-Май-16, 11:09
	Фонд СПО продолжает советовать GitLab, более того он поднял рейтинг GitLab до уровня "A+" (https://www.opennet.ru/opennews/art.shtml?num=44313 ) так как GitLab теперь обеспечивает полную свободу доступа.
	Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "В GitLab устранена критическая уязвимость"	+/–
	Сообщение от й on 03-Май-16, 12:35
	дырка смешная, да. есть ли self-hosted альтернативы, кроме gogs и gitweb?
	Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "В GitLab устранена критическая уязвимость"	+2 +/–
	Сообщение от Аноним (??) on 03-Май-16, 13:48
	https://en.wikipedia.org/wiki/Kallithea_%28software... Говорят оно глючное, однако юзерам гитлаба не привыкать.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "В GitLab устранена критическая уязвимость"	+/–
	Сообщение от й on 03-Май-16, 14:36
	а там точно есть git over ssh? дока только про hg говорит.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "В GitLab устранена критическая уязвимость"	+1 +/–
	Сообщение от Аноним (??) on 03-Май-16, 16:06
	GitLab отнесён к категории "C"
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	7. "В GitLab устранена критическая уязвимость"	+/–
	Сообщение от Аноним (??) on 03-Май-16, 16:24
	git over ssh - есть, и over http(https) Говорят, на солнце пятна :) как по мне, система очень неплоха и удобна, уже года 3 пользуемся. для небольшой команды вполне. (большой команды пока нет, протестировать не можем).
	Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	8. "В GitLab устранена критическая уязвимость"	+/–
	Сообщение от Аноним (??) on 03-Май-16, 17:27
	XXL fastfood
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	9. "В GitLab устранена критическая уязвимость"	+1 +/–
	Сообщение от Анончег on 03-Май-16, 22:26
	> "В GitLab устранена критическая уязвимость" Так, так, тень Столлмана намедни всем ГитХХХ буковки присваивала, а ГитЛаб какую буковку получил? Неужели Д?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	10. "В GitLab устранена критическая уязвимость"	+2 +/–
	Сообщение от Анончег on 03-Май-16, 22:28
	> ...(большой команды пока нет, протестировать не можем). Как будет не забудь сообщить результаты, ждём.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	11. "В GitLab устранена критическая уязвимость"	+2 +/–
	Сообщение от бедный буратино (ok) on 04-Май-16, 05:30
	ну, когда любой может стать администратором - это, разумеется, высшая форма свободы. долой дискриминацию по правам юзеров! права администратора в каждый аккаунт!
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	12. "В GitLab устранена критическая уязвимость"	–3 +/–
	Сообщение от бедный буратино (ok) on 04-Май-16, 05:33
	если бы там ещё иссуи были. да и громоздкое оно. самое кучерявое - это fossil, маленький но вёрткий! с тех пор, как от предустановленных тем перестало хотеться спрятаться в глубокий-глубокий погреб, с ним можно жить.
	Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	13. "В GitLab устранена критическая уязвимость"	+/–
	Сообщение от freehck (ok) on 04-Май-16, 11:54
	У нас команда порядка 40 человек. Пользуемся GitLab, работает стабильно, нареканий нет.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	14. "В GitLab устранена критическая уязвимость"	+/–
	Сообщение от бедный буратино (ok) on 04-Май-16, 12:16
	> У нас команда порядка 40 человек. Пользуемся GitLab, работает стабильно, нареканий нет. ... и все поголовно администраторы в белых штанах... :)
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	17. "В GitLab устранена критическая уязвимость"	+/–
	Сообщение от Аноним (??) on 06-Май-16, 01:01
	В малиновых же. :)
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	19. "В GitLab устранена критическая уязвимость"	+/–
	Сообщение от Аноним (??) on 06-Май-16, 18:05
	А Вы следите за нашими успехами?
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	20. "В GitLab устранена критическая уязвимость"	+/–
	Сообщение от Анончег on 06-Май-16, 21:59
	> А Вы следите за нашими успехами? После таких громогласных заявлений стали следить, причём с большим интересом.
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	21. "В GitLab устранена критическая уязвимость"	+/–
	Сообщение от freehck (ok) on 11-Май-16, 17:59
	Не совсем. Теперь я - администратор в белых штанах. :)
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема