GitLab выпустила экстренный патч для критической уязвимости - «Новости» » Интернет технологии
sitename
Энтузиаст превратил игры из Steam в настоящие картриджи — с помощью старых SSD и скрипта - «Новости сети»
Энтузиаст превратил игры из Steam в настоящие картриджи — с помощью старых SSD и скрипта - «Новости сети»
OpenAI представила первый гаджет — клавиатуру для управления ИИ-агентами Codex - «Новости сети»
OpenAI представила первый гаджет — клавиатуру для управления ИИ-агентами Codex - «Новости сети»
ASML готовится поднять цены на оборудование для выпуска чипов, чем сильно разозлила TSMC - «Новости сети»
ASML готовится поднять цены на оборудование для выпуска чипов, чем сильно разозлила TSMC - «Новости сети»
Вампирская ролевая игра The Blood of Dawnwalker от ведущих разработчиков The Witcher 3 и Cyberpunk 2077 ушла на золото за полтора месяца до релиза - «Новости сети»
Вампирская ролевая игра The Blood of Dawnwalker от ведущих разработчиков The Witcher 3 и Cyberpunk 2077 ушла на золото за полтора месяца до релиза - «Новости сети»
Домашний интернет в России дорожает всё быстрее — и это ещё не предел - «Новости сети»
Домашний интернет в России дорожает всё быстрее — и это ещё не предел - «Новости сети»
Системы хранения данных QNAP
Системы хранения данных QNAP
Зарубежные SIM-карты больше не позволяют обходить блокировки - «Новости»
Зарубежные SIM-карты больше не позволяют обходить блокировки - «Новости»
Один из разработчиков OpenMandriva Linux пытался саботировать проект - «Новости»
Один из разработчиков OpenMandriva Linux пытался саботировать проект - «Новости»
Microsoft исправила уязвимость RoguePlanet. Исследователь утверждает, что патч опасен - «Новости»
Microsoft исправила уязвимость RoguePlanet. Исследователь утверждает, что патч опасен - «Новости»
СМИ: пользователей хостинга могут обязать проходить идентификацию через «Госуслуги» - «Новости»
СМИ: пользователей хостинга могут обязать проходить идентификацию через «Госуслуги» - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » GitLab выпустила экстренный патч для критической уязвимости - «Новости»

Разработчики GitLab выпустили срочное обновление безопасности (версия 16.0.1) для устранения критической проблемы, набравшей 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS. Эксплуатация CVE-2023-2825 может привести к раскрытию конфиденциальных данных, включая код проприетарного ПО, учетные данные пользователя, токены, файлы и так далее.


Баг был обнаружен ИБ-исследователем под ником pwnie, который сообщил о проблеме через bug bounty программу HackerOne.


Сообщается, что проблема влияет на GitLab Community Edition (CE) и Enterprise Edition (EE) версии 16.0.0, но не затрагивает более старые версии. Уязвимость относится к типу обхода пути (path traversal) и позволяет неаутентифицированному злоумышленнику читать произвольные файлы на сервере, если существует вложение в общедоступном проекте, вложенном как минимум в пять групп.


Хотя подробностей о проблеме пока мало, судя по всему, она связана с тем, как GitLab управляет или резолвит пути для вложенных файлов, вложенных в несколько уровней групповой иерархии. При этом похоже, что уязвимость может быть активирована только при определенных условиях (вложение в общедоступном проекте, вложенном как минимум в пять групп), которые не используются во всех проектах GitHub.


Разработчики GitLab подчеркивают, что из-за серьезности уязвимости свежее обновление до версии 16.0.1 нужно применить безотлагательно. Более подробную информацию об ошибке опубликуют только в следующем месяце, после того как пройдет 30 дней с момента выпуска патча.


«Мы настоятельно рекомендуем, чтобы все установки, на которых запущена версия, затронутая описанными проблемами, были обновлены до последней версии как можно скорее», — говорится в официальном бюллетене безопасности.


Разработчики GitLab выпустили срочное обновление безопасности (версия 16.0.1) для устранения критической проблемы, набравшей 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS. Эксплуатация CVE-2023-2825 может привести к раскрытию конфиденциальных данных, включая код проприетарного ПО, учетные данные пользователя, токены, файлы и так далее. Баг был обнаружен ИБ-исследователем под ником pwnie, который сообщил о проблеме через bug bounty программу HackerOne. Сообщается, что проблема влияет на GitLab Community Edition (CE) и Enterprise Edition (EE) версии 16.0.0, но не затрагивает более старые версии. Уязвимость относится к типу обхода пути (path traversal) и позволяет неаутентифицированному злоумышленнику читать произвольные файлы на сервере, если существует вложение в общедоступном проекте, вложенном как минимум в пять групп. Хотя подробностей о проблеме пока мало, судя по всему, она связана с тем, как GitLab управляет или резолвит пути для вложенных файлов, вложенных в несколько уровней групповой иерархии. При этом похоже, что уязвимость может быть активирована только при определенных условиях (вложение в общедоступном проекте, вложенном как минимум в пять групп), которые не используются во всех проектах GitHub. Разработчики GitLab подчеркивают, что из-за серьезности уязвимости свежее обновление до версии 16.0.1 нужно применить безотлагательно. Более подробную информацию об ошибке опубликуют только в следующем месяце, после того как пройдет 30 дней с момента выпуска патча. «Мы настоятельно рекомендуем, чтобы все установки, на которых запущена версия, затронутая описанными проблемами, были обновлены до последней версии как можно скорее», — говорится в официальном бюллетене безопасности.
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS

Смотрите также

А что там на главной? )))



Комментарии )))



Войти через: