The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Вторая за неделю критическая уязвимость в GitLab

31.08.2022 08:15

Компания GitLab опубликовала очередную серию корректирующих обновлений своей платформы для организации совместной разработки - 15.3.2, 15.2.4 и 15.1.6, в которых устранена критическая уязвимость (CVE-2022-2992), позволяющая аутентифицированному пользователю удалённо выполнить код на сервере. Как и уязвимость CVE-2022-2884, исправленная неделю назад, новая проблема присутствует в API для импорта данных из сервиса GitHub. Уязвимость проявляется в том числе в выпусках 15.3.1, 15.2.3 и 15.1.5, в которых была исправлена первая уязвимость в коде импорта из GitHub.

Подробности эксплуатации пока не приводятся. Информация об уязвимости передана в GitLab в рамках действующей на HackerOne программы выплаты вознаграждений за обнаружение уязвимостей, но в отличие от прошлой проблемы выявлена другим участником. В качестве обходного пути администратору рекомендуется отключить функцию импорта из GitHub (в web-интерфейсе GitLab: "Menu" -> "Admin" -> "Settings" -> "General" -> "Visibility and access controls" -> "Import sources" -> отключить "GitHub").

Кроме того, в предложенных обновлениях исправлено ещё 14 уязвимостей, две из которых помечены как опасные, десяти присвоен средний уровень опасности, а две отмечены как неопасные. Опасными признаны: уязвимость CVE-2022-2865, позволяющая добавить свой JavaScript-код на показываемые другим пользователям страницы через манипуляцию с цветными метками, а также уязвимость CVE-2022-2527, дающая возможность подставить своё содержимое через поле с описанием в шкале инцидентов (Incidents Timeline). Уязвимости средней степени опасности в основном связаны с возможностью совершить отказ в обслуживании.

  1. Главная ссылка к новости (https://about.gitlab.com/relea...)
  2. OpenNews: Критическая уязвимость в GitLab
  3. OpenNews: GitLab намерен удалять бесплатно размещённые проекты, неактивные в течение года (дополнено)
  4. OpenNews: Сбой в GitLab-инфраструктуре FreeDesktop, затронувший репозитории многих проектов
  5. OpenNews: В GitLab заменят встроенный редактор кода на Visual Studio Code
  6. OpenNews: Уязвимость в GitLab, позволяющая захватить аккаунты, авторизированные через OAuth, LDAP и SAML
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/57704-gitlab
Ключевые слова: gitlab
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (29) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, Иваня (?), 08:36, 31/08/2022 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –9 +/
     
     
  • 2.7, Минона (ok), 09:18, 31/08/2022 Скрыто модератором
  • +/
     

  • 1.8, Аноним (8), 09:31, 31/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    дружно переходим на Gitea
     
     
  • 2.9, YetAnotherOnanym (ok), 09:39, 31/08/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ты что? Он же на Си! Там же дырени!
     
     
  • 3.13, Аноним (13), 10:34, 31/08/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Разве Gitea не на Go?
     
     
  • 4.14, anonymous (??), 11:02, 31/08/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    главное что не на расте
     
  • 4.16, YetAnotherOnanym (ok), 11:07, 31/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Разве Gitea не на Go?

    А, блин, перепутал, сорри.

     
     
  • 5.23, Владимир (??), 19:16, 31/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >А, блин, перепутал, сорри.

    Фрактал простит ...

     
  • 3.30, InuYasha (??), 00:14, 01/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    CGit на C.
     
     
  • 4.36, Аноним (36), 16:00, 01/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > CGit на C.

    И кстати не замечен в приколах вида "вторая за неделю критическая уязвимость". Наверное потому что не пытается быть энтерпрайзным монстром пытающимся решать все проблемы человечества, вместо того чтобы быть интерфейсом к DVCS.

     
  • 2.19, Аноним (19), 13:11, 31/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Давно было пора.
     
  • 2.22, Аноним (-), 16:54, 31/08/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Вроде Blender недавно перешел на Gitea. А это уже весомый аргумент.

    А чем Gitea так крут? Кто пользовался?

     
     
  • 3.24, Аноним (24), 20:18, 31/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    просто гитлаб крут, пока не начинаешь его использовать.
    Нужны зеркала репозиториев (pull)? — плати деньги. А в gitea они "бесплатные"
    Ты прикрутил линтер/etc… и оно в MR сгенерировало много коментариев? — больше ты не видишь коментариев в этом MR
    Тебе захотелось вынести часть CI в репозиторий доступный только безопасникам (для их нужд)? А все, CI работать не будет, т.к. для запуска нужны права девелопера в репозитории безопасников. Решил хотя бы использовать защищенную ветку? А теперь давай всем права мэнтейнера
    Хочешь скрыть в CI пароль? — Используй только буквенно-цифровые комбинации.
    И т.д. И баги висят годами

    В случае гитлаба, если не готов платить деньги, то костылишь некоторые возможности, если готов, то все равно костылишь.

     
     
  • 4.26, freehck (ok), 21:40, 31/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Нужны зеркала репозиториев (pull)? — плати деньги. А в gitea они "бесплатные"

    Давно уже в Community Edition, то есть бесплатно. Правда, я не понимаю, зачем они вообще там нужны, ибо развернуть свой docker registry mirror -- блин, ну просто контейнер поднять. Было бы зачем огород городить.

    > Тебе захотелось вынести часть CI в репозиторий доступный только безопасникам (для их нужд)? А все, CI работать не будет, т.к. для запуска нужны права девелопера в репозитории безопасников.

    Создайте в проекте безопасников токен с минимальным набором нужных привилегий и триггерите пайплайн этого проекта через него.

    > Ты прикрутил линтер/etc… и оно в MR сгенерировало много коментариев? — больше ты не видишь коментариев в этом MR

    Понимаю, о чём вы. Да, бага с просмотром тестов висела очень долго. Но в конечном итоге её ж пофиксили.

    > Хочешь скрыть в CI пароль? — Используй только буквенно-цифровые комбинации.

    Ну не только буквенно-циферные. Там есть некоторое количество спецсимволов:
    https://git.docrobot.ru/help/ci/variables/index#mask-a-cicd-variable

    В любом случае mask -- это не 100% защита, и это надо понимать.

     
     
  • 5.28, Аноним (28), 22:32, 31/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Давно уже в Community Edition, то есть бесплатно.

    а гитлабовцы пишут, что премиум https://docs.gitlab.com/ee/user/project/repository/mirror/pull.html

    > Создайте в проекте безопасников токен с минимальным набором нужных привилегий и триггерите пайплайн этого проекта через него.

    курлом что ли? тогда между пайплайнами нет связи и, если пайплайн безопасников выполнился не успешно, то пайплайн разработчиков об этом никак не узнает. Я нашел только открытые тикеты на эту тему

    > Но в конечном итоге её ж пофиксили.

    мы уже извернулись через отправку почты и чаты. Криво, но три года ждать не могли.

    > В любом случае mask -- это не 100% защита, и это надо понимать.

    да это понятно, учитывая, в т.ч. и доступ к .gitlab-ci. Но к примеру тот же дженкинс не позволяет просматривать или редактировать секреты после сохранения, генерирует +/- случайные пути к файлам и т.д.

    Просто в случае gitea знаешь на что подписался: она идет бесплатно и нужное приходится доделывать самому. А тут вроде деньги заплатил, а нужное приходится доделывать самому :)

     
     
  • 6.29, freehck (ok), 23:44, 31/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А, эти зеркала Пардон Я подумал, что речь про registry mirror Да, эти -- пока... большой текст свёрнут, показать
     
     
  • 7.31, Аноним (24), 00:55, 01/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Доступ в .gitlab-ci.yml тут не при чём, ибо что тебе толку от возможности его поправить, если пароль от волта с реквизитами прода доступен только в protected-бранче.

    ну вот либо используешь возможности гитлаба и живешь без protected-бранчей или с лишними мэнтейнерами, либо подставляешь костыли
    Вроде у них в планах есть переделка прав и ролей, но неизвестно когда

    спасибо за скрипт. Я вспомнил, что находил уже подобное https://gitlab.com/finestructure/pipeline-trigger
    только не помню, почему не использовали

     
     
  • 8.34, freehck (ok), 10:47, 01/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну я бы не сказал, что это прям костыли Я видел много систем CI CD И везде при... текст свёрнут, показать
     
  • 3.25, freehck (ok), 21:17, 31/08/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Как раз недавно писал на эту тему: https://www.opennet.ru/openforum/vsluhforumID3/128263.html#42

    Распишу чуть более подробно именно в плане сравнения.

    Gitea может быть крута, если ты умеешь её готовить. А готовить её надо уметь. Она из коробки предоставляет только минимально необходимый функционал, всё прочее необходимое для функционирования IT-производства реализуется сторонним софтом и интеграциями. Так, например, изначально в Gitea нет даже пайплайнов. Но вы можете поднять Drone и настроить интеграцию с Gitea. И вот, какие-то пайплайны у вас есть. Но вот допустим хотите вы собрать контейнер. Заюзали вы Drone с плагином для докера, собрали, надо запушить. А куда? Нужен docker registry. Извольте поднять самостоятельно. Ну и собственно додумайте сами ответ на впоросы "а что если мы собираем не докер имидж, а иные артефакты?" или "а что там c кэшированием?". Всё это потребует вашего времени. Тем не менее, если вы всё-таки его потратите на Gitea, то вы сможете её довести до состояния конфетки, которая будет делать ровно то, что вам нужно.

    С другой стороны есть Gitlab. Он крут прямо из коробки, ибо предоставляет весь необходимый функционал сразу. То есть вместе с гитлабом у вас также будет установлен сервер хранения артефактов, container registry, сбор метрик, мониторинг, пайплайны (только подними раннеры, а сам сервер уже подготовлен), и всё это заинтегрировано друг с другом и готово к работе вот прямо сразу после установки. За это вы расплатитесь повышенным потреблением ресурсов, что вероятно не так уж хорошо для маленьких проектов. Но честно говоря, когда я смотрел в последний раз, в том же яндексе виртуалка с минимальной конфигурацией для гитлаба стоила что-то около трёх тысяч в месяц, так что это насколько ж бизнес должен быть мелким, чтобы не потянуть 3 косаря.

    В общем, я при прочих равных выбираю Gitlab именно потому, что он не конструктор, а сразу решает задачи бизнеса.

     
     
  • 4.27, лютый ж.... (?), 21:41, 31/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >в том же яндексе виртуалка с минимальной конфигурацией
    >насколько ж бизнес должен быть мелким

    насколько мозг должен быть мелким, чтобы использовать виртуалки шындекса? в том же селектеле
    за 5 тыр в месяц получаешь i7-3.4ГГц/32GB/2×240GBSSD
    а за 6 тыр i7-3.4ГГц/64ГБ/2×480ГБSSD

     
     
  • 5.35, freehck (ok), 13:36, 01/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >>в том же яндексе виртуалка с минимальной конфигурацией
    >>насколько ж бизнес должен быть мелким
    > насколько мозг должен быть мелким, чтобы использовать виртуалки шындекса?

    Дорогой. Прежде, чем рассуждать об интеллектуальных качествах собеседника, подумай о следующем: вот пришёл к тебе клиент, у которого уже есть инфраструктура, купленная у конкретного вендора, и она его устраивает; ты будешь ему вендора менять только потому, что текущий -- неправославный? Или всё-таки выполнишь только ту работу, на которую подрядился?

     
  • 5.38, Аноним (-), 17:23, 01/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > насколько мозг должен быть мелким, чтобы использовать виртуалки шындекса?

    Это freehck, он давно себя гением мысли зарекомендовал. На аву посмотри, лол.

     

  • 1.10, YetAnotherOnanym (ok), 09:41, 31/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Но как же так? Ведь Руби - безопасный язык, в нём нет работы с памятью напрямую!
     
     
  • 2.11, Аноним (-), 09:54, 31/08/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    но это ничего не гарантирует ☝️
     
     
  • 3.17, Аноним (17), 12:12, 31/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что же это тогда получается, раст тоже небезопасны язык?
     
     
  • 4.20, Аноним (20), 13:15, 31/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    никогда им не был
     
  • 2.18, Аноним (17), 12:12, 31/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Программисты на Руби уже давно редкий вид, который редко встречается в природе. Баги фиксить некому.
     

  • 1.21, лютый ж.... (?), 13:53, 31/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какая-то хэрня... у любого девелопера всё равно есть права в .gitlab-ci.yml прописать любую команду и runner её выполнит )
     
     
  • 2.32, Ананоним (?), 01:56, 01/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Тссссссс! Не пали фичу!
     
  • 2.37, Аноним (-), 17:20, 01/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Какая-то хэрня... у любого девелопера всё равно есть права в .gitlab-ci.yml прописать
    > любую команду и runner её выполнит )

    На третий день Зоркий Глаз заметил что вебмакаки не умеют в безопасность систем.

     
  • 2.39, VitalyE (?), 00:51, 04/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    а если я вынесу в отдельную репу .gitlab-ci.yml и не дам права - сможешь прописать что-то на выполнение?)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру