The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Критическая уязвимость в GitLab"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критическая уязвимость в GitLab"  +/
Сообщение от opennews (??), 24-Авг-22, 10:42 
В корректирующих обновлениях платформы для организации совместной разработки GitLab  15.3.1, 15.2.3 и 15.1.5  устранена критическая уязвимость (CVE-2022-2884), позволяющая аутентифицированному пользователю, имеющему доступ к API для импорта данных из GitHub, удалённо выполнить код на сервере.  Подробности эксплуатации пока не приводятся. Уязвимость выявлена  исследователем безопасности в рамках действующей на HackerOne программы выплаты вознаграждений за выявление уязвимостей...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57672

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "Критическая уязвимость в GitLab"  –8 +/
Сообщение от Жироватт (ok), 24-Авг-22, 10:51 
[Удобство]\/[Безопасность]

Хе. Чаша [Удобство] снова в приоритете.

Ответить | Правка | Наверх | Cообщить модератору

3. "Критическая уязвимость в GitLab"  +10 +/
Сообщение от Аноним (3), 24-Авг-22, 10:53 
опять ты
Ответить | Правка | Наверх | Cообщить модератору

5. "Критическая уязвимость в GitLab"  –4 +/
Сообщение от Аноним (5), 24-Авг-22, 11:10 
Где там удобство, диффы убого как в соснольке отображаются, когда во всех нормальных IDE графически.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

6. "Критическая уязвимость в GitLab"  +/
Сообщение от anonymous (??), 24-Авг-22, 11:18 
покажи как надо
Ответить | Правка | Наверх | Cообщить модератору

26. "Критическая уязвимость в GitLab"  –1 +/
Сообщение от Аноним (26), 24-Авг-22, 19:01 
Открой idea, netbeans или smartgit - там как надо.
Ответить | Правка | Наверх | Cообщить модератору

46. "Критическая уязвимость в GitLab"  +/
Сообщение от А (??), 25-Авг-22, 14:33 
Не про удобство, вангую, эта история, а про деманд. Уж насколько подборка фич вызывает удивление, настолько писали не систему, а - откуда ветер подует, так и выйдет.

А уж остальное приложилось т.к. иначе ну совсем нельзя.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

4. "Критическая уязвимость в GitLab"  +/
Сообщение от Анна Нист (?), 24-Авг-22, 11:06 
То чувство, когда товарищи Гитлабовцы хотели удалять код из-за простоя...
Начинайте с себя!
Ответить | Правка | Наверх | Cообщить модератору

27. "Критическая уязвимость в GitLab"  +/
Сообщение от Без аргументов (?), 24-Авг-22, 20:43 
Их главный предпочел коммитить в твиттер.
Ответить | Правка | Наверх | Cообщить модератору

47. "Критическая уязвимость в GitLab"  +/
Сообщение от А (??), 25-Авг-22, 14:34 
Тише, тише, а то ещё и эту ерунду туда притащат, вместо чего-то полезного.
Ответить | Правка | Наверх | Cообщить модератору

10. "Критическая уязвимость в GitLab"  +2 +/
Сообщение от Аноним (10), 24-Авг-22, 13:32 
Оно все также жрет памяти как прожорливая корова?
Ответить | Правка | Наверх | Cообщить модератору

13. "Критическая уязвимость в GitLab"  –4 +/
Сообщение от Аноним (-), 24-Авг-22, 14:35 
У тебя что там, пентиум 1 с 256 мб озу?
Ответить | Правка | Наверх | Cообщить модератору

15. "Критическая уязвимость в GitLab"  +2 +/
Сообщение от Аноним (10), 24-Авг-22, 14:59 
Это неважно. Важно то, что оно жрет память. Софт значит неоптимизирован
Ответить | Правка | Наверх | Cообщить модератору

16. "Критическая уязвимость в GitLab"  +2 +/
Сообщение от ыы (?), 24-Авг-22, 15:09 
Манипуляция для дурачков.
Скажи что софт не оптимизирован - и создается впечатление что существует некая оптимизация которая позволит не жрать память...
Берете софт 20 летней давности и радуетесь "оптимизации" благодаря которой он "не жрет память".
Правда оно ничего не умеет. но разве это важно :) ?
Ответить | Правка | Наверх | Cообщить модератору

23. "Критическая уязвимость в GitLab"  +1 +/
Сообщение от Аноним (23), 24-Авг-22, 16:34 
> Берете софт 20 летней давности и радуетесь "оптимизации" благодаря которой он "не жрет память". Правда оно ничего не умеет. но разве это важно :) ?

Если софт "20 летней давности" попытаются сегодня написать с нуля тем же "ничего не умеет" функционалом, потреблять он будет в разы больше. Нет, конечно, есть разработчики, которые таки предпринимают попытки в оптимизации, и даже получают сносный результат, но в среднем по больнице ситуация явно будет не в пользу софтостроителей наших дней.

Ответить | Правка | Наверх | Cообщить модератору

39. "Критическая уязвимость в GitLab"  +/
Сообщение от Аноним (39), 25-Авг-22, 10:20 
Манипуляция для дурачков.
Выкидываешь Руби и берешь любой нормальный язык программирования и жор сразу же прекращается.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

41. "Критическая уязвимость в GitLab"  +1 +/
Сообщение от ыы (?), 25-Авг-22, 10:49 
Манипуляция для дурачков.
Банишь анонимов и читаешь только нормальных комментаторов и в диалоге появляется смысл.
Ответить | Правка | Наверх | Cообщить модератору

48. "Критическая уязвимость в GitLab"  +/
Сообщение от Аноним (48), 25-Авг-22, 14:54 
Манипуляция для дурачков.
Посылаешь нахер ыы читаешь нормально опеннетик.
Ответить | Правка | Наверх | Cообщить модератору

52. "Критическая уязвимость в GitLab"  +/
Сообщение от ыы (?), 26-Авг-22, 12:11 
"Ты мне так безразличен что я тебе обязательно отвечу" :)
Ну продолжай.. Продолжай.. :)
Ответить | Правка | Наверх | Cообщить модератору

38. "Критическая уязвимость в GitLab"  +/
Сообщение от Аноним (38), 25-Авг-22, 09:25 
Откуда там у пентиумов 1 256 мб озу было? На 16MB win95/98 гоняли, 32 мб это уже почти буржуинство - win nt  можно было относительно сносно гонять.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

17. "Критическая уязвимость в GitLab"  +2 +/
Сообщение от freehckemail (ok), 24-Авг-22, 15:10 
> Оно все также жрет памяти как прожорливая корова?

У меня есть инсталляция, где я затюнил его нормально работать на:
- 2x CPU (Xeon / Cascadelake)
- 3 GiB RAM (+1 GiB swap)
- 25 GiB HDD

Это без раннеров, метрик-алёртов-графаны, с урезанным до одного потока веб-сервером, двумя потоками планировщика, стораджем для артефактов/регистри и бэкапами в s3. Память в среднем забита на 80%, своп на 65%; Диск забит на 35%, LA в районе 0.2. Работает шустро.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

18. "Критическая уязвимость в GitLab"  –1 +/
Сообщение от ДРО (?), 24-Авг-22, 15:44 
конфиг будет? ато пока только слова
Ответить | Правка | Наверх | Cообщить модератору

21. "Критическая уязвимость в GitLab"  +3 +/
Сообщение от freehckemail (ok), 24-Авг-22, 16:09 
> конфиг будет? ато пока только слова

Да пожалуйста:

puma['worker_processes'] = 0
sidekiq['concurrency'] = 2
postgresql['shared_buffers'] = '256MB'
grafana['enable'] = false
prometheus_monitoring['enable'] = false
prometheus['enable'] = false
alertmanager['enable'] = false

Добавьте это в конец /etc/gitlab/gitlab.rb и будете наблюдать описанный мной результат.

Ответить | Правка | Наверх | Cообщить модератору

29. "Критическая уязвимость в GitLab"  +/
Сообщение от Sw00p aka Jerom (?), 24-Авг-22, 22:08 
а база на этом же серваке?
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

34. "Критическая уязвимость в GitLab"  +/
Сообщение от freehckemail (ok), 25-Авг-22, 00:55 
> а база на этом же серваке?

Да. Можно вынести отдельно, сэкономит примерно 300 мб рамы. До 2 гб потребление не доведёт, так что с учётом того, что при заказе машин у провайдера память обычно квантуется по гигабайту, смысла в этом не вижу.

Вообще я не понимаю, что тут комментаторов удивляет. По официальной доке гитлабу нужно 4 гига рамы + 2 гига свопа, я затюнил его до 3 гигов рамы + 1 гига свопа, банально отключив лишний функционал и понизив количество потоков основных сервисов. Не рокет саенс.

Ответить | Правка | Наверх | Cообщить модератору

40. "Критическая уязвимость в GitLab"  +/
Сообщение от Аноним (39), 25-Авг-22, 10:22 
А до тебя не доходит что сам факт того что надо что-то тюнить и есть доказательство жора.

Почему gitea с drone столько не жрут?

Ответить | Правка | Наверх | Cообщить модератору

42. "Критическая уязвимость в GitLab"  +1 +/
Сообщение от freehckemail (ok), 25-Авг-22, 12:10 
> Почему gitea с drone столько не жрут?

Потому что у них разная аудитория с разными целями. Гитлаб -- это коробочный продукт, который после установки сразу обеспечивает весь заявленный функционал. Гитея же -- это конструктор, где после установки вы подключаете нужный функционал по кусочкам самостоятельно.

> А до тебя не доходит что сам факт того что надо что-то тюнить и есть доказательство жора.

По той же логике, recommends в пакетах debian-а -- это тоже "доказательство жора" тогда. =)

Смотрите:
- Вот мы возьмём дефолтные настройки APT, и поставим evince. Очень много зависимостей прилетит, займёт много места. Зато сразу всё работает. Это -- подход GitLab.
- Или возьмём да отключим в APT установку Recommends. Поставим тот же самый evince. Места заняло мало, но он сможет работать только с dvi-файлами. А у вас в коллекции djvu и pdf. Придётся отдельно ставить пакеты с плагинами для них. А потом вы вдруг скачали epub. И опять что-то ставить надо. А потом вам друг скинул fb2. И по-новой. Это -- подход Gitea.

На самом деле вполне очевидно, что это эти два подхода суть не более чем трейдофф между удобством и затратами.

--

У меня вот в дефиците время, а не ресурсы. Поэтому мой выбор очевиден. А какой подход больше устраивает вас -- решайте сами. Я лишь показал, что гитлаб может жрать меньше заявленного вендором. Достаточно ли этого для вас -- мне не ведомо, да и в общем-то безразлично.

Ответить | Правка | Наверх | Cообщить модератору

45. "Критическая уязвимость в GitLab"  +/
Сообщение от Sw00p aka Jerom (?), 25-Авг-22, 13:19 
> что сам факт того что надо что-то тюнить и есть доказательство жора.

отключение неиспользуемого функционала -  не тюнинг, и не жор,  банальная экономия ресурса. Жор был бы тогда,  когда отключив функционал, испытывал бы недостаток ресурсов. Тюнинг там только в процессных лимитах как я понял, но и с базой не ясно,  что тюнил,  что отрубил.

Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

49. "Критическая уязвимость в GitLab"  +/
Сообщение от Аноним (48), 25-Авг-22, 14:55 
Тюнинг и жор.  Зачем тогда всё это по-умолчанию то гитлаб включает?
Ответить | Правка | Наверх | Cообщить модератору

50. "Критическая уязвимость в GitLab"  +/
Сообщение от Sw00p aka Jerom (?), 25-Авг-22, 15:07 
> Тюнинг и жор.  Зачем тогда всё это по-умолчанию то гитлаб включает?

вот, отсюда надо взять 4Гб как утверждают гитлабовцы, завести систему из коробки не отключая ничего и проверить, жор будет или нет. Но как мне кажется в 4ГБ не в ходит ресурсы бд.

Ответить | Правка | Наверх | Cообщить модератору

51. "Критическая уязвимость в GitLab"  +/
Сообщение от freehckemail (ok), 25-Авг-22, 15:51 
>> Тюнинг и жор.  Зачем тогда всё это по-умолчанию то гитлаб включает?

Так удобнее.

> надо взять 4Гб как утверждают гитлабовцы, завести систему из коробки
> не отключая ничего и проверить, жор будет или нет.

Есть почти такая машина: 8 гигов рамы, 4 гига свопа. Конфигурация дефолтная: всё на одной машине. Во время пиковой нагрузки потребление 4.1 гигов рамы и почти 1 гиг свопа. С сервером одновременно работают ~70 пользователей, порядка 15 одновременных пайплайнов (раннеры, естественно, на отдельных тачках).

Ответить | Правка | Наверх | Cообщить модератору

44. "Критическая уязвимость в GitLab"  +/
Сообщение от Sw00p aka Jerom (?), 25-Авг-22, 13:14 
> По официальной доке гитлабу нужно 4 гига рамы + 2 гига свопа, я затюнил его до 3 гигов рамы + 1 гига свопа, банально отключив лишний функционал и понизив количество потоков основных сервисов.

для одного проекта достаточно с максимальным числом пользователей не больше 5:)

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

31. "Критическая уязвимость в GitLab"  –1 +/
Сообщение от microsoft (?), 24-Авг-22, 23:10 
> своп
> Работает шустро.

Ты шутник или лжец?

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

32. "Критическая уязвимость в GitLab"  +1 +/
Сообщение от Аноним (32), 24-Авг-22, 23:16 
Прикинь, не везде нужна быстрая память
Ответить | Правка | Наверх | Cообщить модератору

54. "Критическая уязвимость в GitLab"  +/
Сообщение от huhuhu (?), 29-Авг-22, 12:47 
Пример есть?
Ответить | Правка | Наверх | Cообщить модератору

33. "Критическая уязвимость в GitLab"  –1 +/
Сообщение от Anonim (??), 25-Авг-22, 00:22 
Я нашел еще одну уязвимость в gitlab. Она называется Git. В связи с этим имею 2 вопроса:
1. Когда устранят найденное мной безобразие?
2. Как я могу получить свое вознаграждение?
Ответить | Правка | Наверх | Cообщить модератору

35. "Критическая уязвимость в GitLab"  +1 +/
Сообщение от zog (??), 25-Авг-22, 02:26 
> отключить "GitHub"

Интересное предложение.

Ответить | Правка | Наверх | Cообщить модератору

36. "Критическая уязвимость в GitLab"  +2 +/
Сообщение от А (??), 25-Авг-22, 07:40 
Самое верное. И забыть про эти костыли.
Ответить | Правка | Наверх | Cообщить модератору

53. "Критическая уязвимость в GitLab"  +/
Сообщение от huhuhu (?), 29-Авг-22, 12:46 
Но ты конечно уже написал замену и естесственно выложил код? Линк же вот прям сейчас дашь да?
Ответить | Правка | Наверх | Cообщить модератору

37. "Критическая уязвимость в GitLab"  +1 +/
Сообщение от Аноним (37), 25-Авг-22, 09:01 
Не удивлен, что в этом мега комбаине будет уязвимость.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру