用户警告称,立即修补 GitLab 漏洞
美国网络安全和基础设施安全局 (CISA) 本周添加了一个漏洞,该漏洞于 1 月份在 GitLab 其开源平台 已知被利用的漏洞 (KEV) 目录,引发一系列警告,敦促该服务的用户立即应用可用的补丁。 追踪为 CVE-2023-7028 并通过 GitLab 的 HackerOne 运行的错误赏金计划发现, 该缺陷存在于 GitLab 社区版和企业版中。 这是一个不正确的访问控制漏洞,攻击者可以利用该漏洞向未经验证的电子邮件发送密码重置电子邮件,从而导致帐户被接管。 CISA 表示,截至发稿时尚不清楚它是否已被用作任何勒索软件攻击的一个因素。 KEV 目录中添加的漏洞要求美国政府机构在受到影响时立即对其进行修补(他们必须在 5 月下旬之前这样做),但也可以为企业和其他组织提供有用的指导和及时的警告,以了解可能发生的情况。新的漏洞影响最大,因此对网络犯罪分子和其他威胁行为者来说很有价值。 CVE-2023-7028 影响 GitLab C/EE 的所有版本,从 16.1 到 16.1.6、16.2 到 16.2.9、16.3 到 16.3.7、16.4 到 16.4.5、16.5 到 16.5.6、16.6 16.6.4 之前和 16.7 16.7.2 之前。 用户应立即更新到版本16.7.2、16.6.4和16.5.6。 “我们致力于确保 GitLab 暴露给客户或托管客户数据的所有方面都符合最高安全标准,”GitLab 的 Greg Meyers […]
CISA 对主动利用的 GitLab 严重缺陷发出警报
美国网络安全和基础设施安全局 (CISA) 贴上标签 影响流行的基于 Git 的存储库管理器的严重漏洞 GitLab 作为已知被利用的漏洞 (KEV)。 此举是为了应对在野外检测到的主动利用尝试,强调了组织迅速应用安全更新的紧迫性。 该严重缺陷(CVSS 评分:10.0)被追踪为 CVE-2023-7028,攻击者可以通过向未经验证的电子邮件地址发送密码重置电子邮件来接管用户帐户。 CISA 的 KEV 目录列出了众所周知的网络安全漏洞,这些漏洞给联邦机构带来重大风险,并被威胁行为者积极利用。 GitLab 最初于 2023 年 1 月披露了该缺陷。该漏洞是在 2023 年 5 月 1 日发布的 16.1.0 版本中作为代码更改的一部分引入的,影响受影响版本中的“所有身份验证机制”。 “此外,启用了双因素身份验证的用户很容易被密码重置,但不会被帐户接管,因为他们需要第二个身份验证因素才能登录,”GitLab 指出 在其咨询中。 安全研究人员表示,成功利用该漏洞的后果可能会很严重。 云安全公司 Mitiga 警告 攻击者控制 GitLab 用户帐户可能会窃取敏感信息、凭据,甚至将恶意代码注入源代码存储库,为供应链攻击铺平道路。 “对于攻击者和内部不良行为者来说,GitLab 代表着其他东西:充满知识产权的组织价值的丰富来源。 因此,了解潜在攻击和滥用的风险对于 GitLab 用户来说非常重要。”Mitiga 解释道。 “获得 CI/CD 管道配置访问权限的攻击者可能会嵌入旨在窃取敏感数据(例如个人身份信息 (PII) 或身份验证令牌)的恶意代码,并将其重定向到对手控制的服务器。 “同样,篡改存储库代码可能涉及插入损害系统完整性的恶意软件或引入后门以进行未经授权的访问。 恶意代码或滥用管道可能会导致数据盗窃、代码中断、未经授权的访问和供应链攻击。” 此后,GitLab […]
🦊 GitLab 16.11 的出击 | 发行说明 | 天琴座
🔎我分析一下#GitLab 16.11的新特性 恢复 您是 GitLab 的粉丝,并且总是在寻找最新的改进来优化您的项目吗? 了解版本 16.11 的所有新功能,这将使您能够进一步管理和外包应用程序。 无论您是 Auto DevOps 爱好者、管道大师,还是只是希望通过更灵活的配置来提高项目的安全性,此更新都会让您着迷! 不要错过我们的视频,我们将详细介绍每项新功能,以简化您使用 GitLab 的生活。 来吧,让我们来全面了解一下这个轰动的版本! 信息 🐸 发现 Froggit:在法国托管的 GitLab 和 Mattermost 实例! 🔗 根据 GitLab 的 DevOps 生命周期🔗 即将发布的版本🔗 还有他们的日期🔗 博客文章🔗 发布详情🔗 检查您的迁移路径 💬 加入致力于 git 和 GitLab 的法语 #Froggit 社区 💖 支持我的工作和社区 周一求职板 💼 找到你梦想的工作 更抗干燥 🔀 马云 DevOps 路线图 🎁 […]
GitLab 确认已删除 Suyu,它是 Nintendo Switch 模拟器 Yuzu 的一个分支
“GitLab 收到了权利持有者代表发出的 DMCA 删除通知,并遵循了我们的标准流程 此处概述”,发言人克里斯汀·巴特勒说道 边缘。 Suyu 是 Yuzu 的一个分支,任天堂成功起诉了模拟器,但这并不是说任天堂现在拥有了 Yuzu 代码的权利——或者甚至根本不是任天堂? 任天堂不一定赢得柚子代码的版权 在其解决方案中,而 GitLab 没有告诉 边缘 任天堂是此次事件的幕后黑手。 Suyu 贡献者收到的一封电子邮件。 相反,正如您在上面的电子邮件中看到的那样 – Suyu 的 Discord 中分享的几封电子邮件之一 早些时候由 Overkill.wtf 发表 — 无论是谁发送了删除请求,都试图利用 Yuzu 涉嫌绕过任天堂技术保护措施违反 DMCA 1201 的行为。 哦,也许他们还巧妙地以非法贩运(也是 DMCA 1201 的一部分)来威胁 GitLab。 我不是律师,但两年前有几位律师告诉我, 有效的 DMCA 删除请求 技术上应该包含 “识别声称受到侵权的版权作品”,并且 DMCA 1201 与涵盖删除请求的 DMCA 512 不同。 还, 苏宇声称 […]
🦊 GitLab 16.9 版本 | 发行说明 | 天琴座
🔎我分析一下#GitLab 16.9的新特性 恢复 您准备好深入了解最新版本 GitLab 16.9 的秘密了吗? 所以,坚持住! 在本文中,我们将剖析所有使 GitLab 对您的项目更加重要的新功能。 无论您是代码爱好者、DevOps 高手,还是只是想了解 GitLab 如何持续革新协作工作,您都来对地方了。 打开此更新的大门,其功能将使您更加高效和舒适。 从项目导入改进到合并请求审查,再到更直观的持续集成变量输入,GitLab 16.9 承诺提高您的工作效率。 请跟随我一起了解此版本将如何改变您的工作方式以及为什么您将无法没有它。 ⚡️ 加速您对 Git 和 GitLab 的学习 🔗 根据 GitLab 的 DevOps 生命周期🔗 即将发布的版本🔗 博客文章🔗 发布详情🔗 检查您的迁移路径 💬 加入致力于 git 和 GitLab 的法语 #Froggit 社区 💖 支持我的工作和社区 周一求职板 💼 找到你梦想的工作 👔 跟我一起招募 更抗干燥 🔀 马云 DevOps […]
🦊 GitLab 16.8 的出击 | 发行说明 | 天琴座
🔎我分析一下#GitLab 16.8的新特性 恢复 您将深入了解 GitLab 发布 16.8 版本的最新消息。 但让我告诉您,这不仅仅是一次普通的更新,它是 DevOps 和安全托管爱好者的一场革命! GitLab 刚刚推出了将改变您工作方式的功能。 想象一下,能够以无与伦比的轻松方式管理您的合并请求,并在 GitLab.com 上使用 Windows 运行程序进行部署。 而这仅仅是开始。 管理员强制双重身份验证? 安全方面向前迈出了重要一步。 如果您使用 Kubernetes,您一定会喜欢更新后的代理。 准备好了解这些新功能如何无缝融入您的 DevOps 生命周期,以及为什么遵循建议的迁移路径至关重要。 您想了解更多信息并提高对 GitLab 的使用吗? 坚持住,你来对地方了。 ⚡️ 加速您对 Git 和 GitLab 的学习 🔗 GitLab 的 DevOps 生命周期 https://about.gitlab.com/stages-devops-lifecycle/🔗 即将发布的版本 https://about.gitlab.com/upcoming-releases/🔗 博客文章 https://about.gitlab.com/releases/2024/01/18/gitlab-16-8-released/🔗 发布详情 https://gitlab.com/gitlab-org/gitlab/-/releases/v16.8.0-ee🔗 检查您的迁移路径 https://gitlab-com.gitlab.io/support/toolbox/upgrade-path 💬 加入致力于 git 和 GitLab […]
人们使用 YouTube 上的随机 Zoom 会议假装工作
试图逃避工作和避免闲聊的人们开始转向一种不太可能的工具——通过播放他们在 YouTube 上找到的 Zoom 录音来假装正在开会。 在 2020 年和 2021 年,软件公司等组织 GitLab 和 圣达菲市 在 YouTube 上上传了 Zoom 会议的视频。 尽管这些视频可能是为了保存记录的目的,但有些人发现在电脑上播放它们是一种让自己看起来很忙碌的好方法。 “每当我需要家里有人让我一个人呆着时,我就会使用这个,哈哈。在需要的时候,它给了我 2 个小时的独处时间,”一位网友评论道 GitLab 的 Zoom 录制。 该视频于 2021 年 6 月上传,截至发稿时浏览量已超过 29 万次。 它还收到了 200 多条评论,其中一些评论对该视频的存在表示赞赏。 亚搏体育appGitLab的频道 拥有超过 11,000 个视频和超过 28,000 名订阅者。 另一条评论写道:“这次会议对我来说比工作中任何其他可能是电子邮件的会议更有用。” 其他人则觉得有趣的是,这样的观众群体刚刚兴起。 “我不敢相信我找到了我的人!我以为我是唯一的人。我无法停止笑,”另一个人评论道。 根据 BI 看到的 YouTube 评论,这一趋势似乎自 2020 年以来就一直存在。 “在新冠疫情最严重的时期,这确实派上了用场,”一位人士对圣达菲市的视频评论道。 “这确实让人们在会议间隙把我留在我的家庭办公室里。” 圣达菲市于 […]