The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в GitLab

24.08.2022 10:33

В корректирующих обновлениях платформы для организации совместной разработки GitLab 15.3.1, 15.2.3 и 15.1.5 устранена критическая уязвимость (CVE-2022-2884), позволяющая аутентифицированному пользователю, имеющему доступ к API для импорта данных из GitHub, удалённо выполнить код на сервере. Подробности эксплуатации пока не приводятся. Уязвимость выявлена исследователем безопасности в рамках действующей на HackerOne программы выплаты вознаграждений за выявление уязвимостей.

В качестве обходного пути администратору рекомендуется отключить функцию импорта из GitHub (в web-интерфейсе GitLab: "Menu" -> "Admin" -> "Settings" -> "General" -> "Visibility and access controls" -> "Import sources" -> отключить "GitHub").

  1. Главная ссылка к новости (https://about.gitlab.com/relea...)
  2. OpenNews: GitLab намерен удалять бесплатно размещённые проекты, неактивные в течение года (дополнено)
  3. OpenNews: Разработчики Wine приняли решение о переводе разработки на GitLab
  4. OpenNews: Сбой в GitLab-инфраструктуре FreeDesktop, затронувший репозитории многих проектов
  5. OpenNews: В GitLab заменят встроенный редактор кода на Visual Studio Code
  6. OpenNews: Уязвимость в GitLab, позволяющая захватить аккаунты, авторизированные через OAuth, LDAP и SAML
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/57672-gitlab
Ключевые слова: gitlab
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (39) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Жироватт (ok), 10:51, 24/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    [Удобство]\/[Безопасность]

    Хе. Чаша [Удобство] снова в приоритете.

     
     
  • 2.3, Аноним (3), 10:53, 24/08/2022 [^] [^^] [^^^] [ответить]  
  • +10 +/
    опять ты
     
  • 2.5, Аноним (5), 11:10, 24/08/2022 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Где там удобство, диффы убого как в соснольке отображаются, когда во всех нормальных IDE графически.
     
     
  • 3.6, anonymous (??), 11:18, 24/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    покажи как надо
     
     
  • 4.26, Аноним (26), 19:01, 24/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Открой idea, netbeans или smartgit - там как надо.
     
  • 2.46, А (??), 14:33, 25/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не про удобство, вангую, эта история, а про деманд. Уж насколько подборка фич вызывает удивление, настолько писали не систему, а - откуда ветер подует, так и выйдет.

    А уж остальное приложилось т.к. иначе ну совсем нельзя.

     

  • 1.4, Анна Нист (?), 11:06, 24/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    То чувство, когда товарищи Гитлабовцы хотели удалять код из-за простоя...
    Начинайте с себя!
     
     
  • 2.27, Без аргументов (?), 20:43, 24/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Их главный предпочел коммитить в твиттер.
     
     
  • 3.47, А (??), 14:34, 25/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Тише, тише, а то ещё и эту ерунду туда притащат, вместо чего-то полезного.
     

  • 1.10, Аноним (10), 13:32, 24/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Оно все также жрет памяти как прожорливая корова?
     
     
  • 2.13, Аноним (-), 14:35, 24/08/2022 [^] [^^] [^^^] [ответить]  
  • –4 +/
    У тебя что там, пентиум 1 с 256 мб озу?
     
     
  • 3.15, Аноним (10), 14:59, 24/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это неважно. Важно то, что оно жрет память. Софт значит неоптимизирован
     
     
  • 4.16, ыы (?), 15:09, 24/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Манипуляция для дурачков.
    Скажи что софт не оптимизирован - и создается впечатление что существует некая оптимизация которая позволит не жрать память...
    Берете софт 20 летней давности и радуетесь "оптимизации" благодаря которой он "не жрет память".
    Правда оно ничего не умеет. но разве это важно :) ?
     
     
  • 5.23, Аноним (23), 16:34, 24/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Берете софт 20 летней давности и радуетесь "оптимизации" благодаря которой он "не жрет память". Правда оно ничего не умеет. но разве это важно :) ?

    Если софт "20 летней давности" попытаются сегодня написать с нуля тем же "ничего не умеет" функционалом, потреблять он будет в разы больше. Нет, конечно, есть разработчики, которые таки предпринимают попытки в оптимизации, и даже получают сносный результат, но в среднем по больнице ситуация явно будет не в пользу софтостроителей наших дней.

     
  • 5.39, Аноним (39), 10:20, 25/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Манипуляция для дурачков.
    Выкидываешь Руби и берешь любой нормальный язык программирования и жор сразу же прекращается.
     
     
  • 6.41, ыы (?), 10:49, 25/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Манипуляция для дурачков.
    Банишь анонимов и читаешь только нормальных комментаторов и в диалоге появляется смысл.
     
     
  • 7.48, Аноним (48), 14:54, 25/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Манипуляция для дурачков.
    Посылаешь нахер ыы читаешь нормально опеннетик.
     
     
  • 8.52, ыы (?), 12:11, 26/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ты мне так безразличен что я тебе обязательно отвечу Ну продолжай Продолж... текст свёрнут, показать
     
  • 3.38, Аноним (38), 09:25, 25/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Откуда там у пентиумов 1 256 мб озу было? На 16MB win95/98 гоняли, 32 мб это уже почти буржуинство - win nt  можно было относительно сносно гонять.
     
  • 2.17, freehck (ok), 15:10, 24/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Оно все также жрет памяти как прожорливая корова?

    У меня есть инсталляция, где я затюнил его нормально работать на:
    - 2x CPU (Xeon / Cascadelake)
    - 3 GiB RAM (+1 GiB swap)
    - 25 GiB HDD

    Это без раннеров, метрик-алёртов-графаны, с урезанным до одного потока веб-сервером, двумя потоками планировщика, стораджем для артефактов/регистри и бэкапами в s3. Память в среднем забита на 80%, своп на 65%; Диск забит на 35%, LA в районе 0.2. Работает шустро.

     
     
  • 3.18, ДРО (?), 15:44, 24/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    конфиг будет? ато пока только слова
     
     
  • 4.21, freehck (ok), 16:09, 24/08/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > конфиг будет? ато пока только слова

    Да пожалуйста:

    puma['worker_processes'] = 0
    sidekiq['concurrency'] = 2
    postgresql['shared_buffers'] = '256MB'
    grafana['enable'] = false
    prometheus_monitoring['enable'] = false
    prometheus['enable'] = false
    alertmanager['enable'] = false

    Добавьте это в конец /etc/gitlab/gitlab.rb и будете наблюдать описанный мной результат.

     
  • 3.29, Sw00p aka Jerom (?), 22:08, 24/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    а база на этом же серваке?
     
     
  • 4.34, freehck (ok), 00:55, 25/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > а база на этом же серваке?

    Да. Можно вынести отдельно, сэкономит примерно 300 мб рамы. До 2 гб потребление не доведёт, так что с учётом того, что при заказе машин у провайдера память обычно квантуется по гигабайту, смысла в этом не вижу.

    Вообще я не понимаю, что тут комментаторов удивляет. По официальной доке гитлабу нужно 4 гига рамы + 2 гига свопа, я затюнил его до 3 гигов рамы + 1 гига свопа, банально отключив лишний функционал и понизив количество потоков основных сервисов. Не рокет саенс.

     
     
  • 5.40, Аноним (39), 10:22, 25/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А до тебя не доходит что сам факт того что надо что-то тюнить и есть доказательство жора.

    Почему gitea с drone столько не жрут?

     
     
  • 6.42, freehck (ok), 12:10, 25/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Почему gitea с drone столько не жрут?

    Потому что у них разная аудитория с разными целями. Гитлаб -- это коробочный продукт, который после установки сразу обеспечивает весь заявленный функционал. Гитея же -- это конструктор, где после установки вы подключаете нужный функционал по кусочкам самостоятельно.

    > А до тебя не доходит что сам факт того что надо что-то тюнить и есть доказательство жора.

    По той же логике, recommends в пакетах debian-а -- это тоже "доказательство жора" тогда. =)

    Смотрите:
    - Вот мы возьмём дефолтные настройки APT, и поставим evince. Очень много зависимостей прилетит, займёт много места. Зато сразу всё работает. Это -- подход GitLab.
    - Или возьмём да отключим в APT установку Recommends. Поставим тот же самый evince. Места заняло мало, но он сможет работать только с dvi-файлами. А у вас в коллекции djvu и pdf. Придётся отдельно ставить пакеты с плагинами для них. А потом вы вдруг скачали epub. И опять что-то ставить надо. А потом вам друг скинул fb2. И по-новой. Это -- подход Gitea.

    На самом деле вполне очевидно, что это эти два подхода суть не более чем трейдофф между удобством и затратами.

    --

    У меня вот в дефиците время, а не ресурсы. Поэтому мой выбор очевиден. А какой подход больше устраивает вас -- решайте сами. Я лишь показал, что гитлаб может жрать меньше заявленного вендором. Достаточно ли этого для вас -- мне не ведомо, да и в общем-то безразлично.

     
  • 6.45, Sw00p aka Jerom (?), 13:19, 25/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > что сам факт того что надо что-то тюнить и есть доказательство жора.

    отключение неиспользуемого функционала -  не тюнинг, и не жор,  банальная экономия ресурса. Жор был бы тогда,  когда отключив функционал, испытывал бы недостаток ресурсов. Тюнинг там только в процессных лимитах как я понял, но и с базой не ясно,  что тюнил,  что отрубил.

     
     
  • 7.49, Аноним (48), 14:55, 25/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Тюнинг и жор.  Зачем тогда всё это по-умолчанию то гитлаб включает?
     
     
  • 8.50, Sw00p aka Jerom (?), 15:07, 25/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    вот, отсюда надо взять 4Гб как утверждают гитлабовцы, завести систему из коробки... текст свёрнут, показать
     
     
  • 9.51, freehck (ok), 15:51, 25/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так удобнее Есть почти такая машина 8 гигов рамы, 4 гига свопа Конфигурация д... текст свёрнут, показать
     
  • 5.44, Sw00p aka Jerom (?), 13:14, 25/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > По официальной доке гитлабу нужно 4 гига рамы + 2 гига свопа, я затюнил его до 3 гигов рамы + 1 гига свопа, банально отключив лишний функционал и понизив количество потоков основных сервисов.

    для одного проекта достаточно с максимальным числом пользователей не больше 5:)

     
  • 3.31, microsoft (?), 23:10, 24/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > своп
    > Работает шустро.

    Ты шутник или лжец?

     
     
  • 4.32, Аноним (32), 23:16, 24/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Прикинь, не везде нужна быстрая память
     
     
  • 5.54, huhuhu (?), 12:47, 29/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Пример есть?
     

  • 1.33, Anonim (??), 00:22, 25/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я нашел еще одну уязвимость в gitlab. Она называется Git. В связи с этим имею 2 вопроса:
    1. Когда устранят найденное мной безобразие?
    2. Как я могу получить свое вознаграждение?
     
  • 1.35, zog (??), 02:26, 25/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > отключить "GitHub"

    Интересное предложение.

     
     
  • 2.36, А (??), 07:40, 25/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Самое верное. И забыть про эти костыли.
     
     
  • 3.53, huhuhu (?), 12:46, 29/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Но ты конечно уже написал замену и естесственно выложил код? Линк же вот прям сейчас дашь да?
     

  • 1.37, Аноним (37), 09:01, 25/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Не удивлен, что в этом мега комбаине будет уязвимость.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру