Ещё хотел сказать, что мы безрукие долбаёбы, не тестирующие базовые кейсы. в битбакете появляются и сразу исчезают кнопки настройки репозитория если зайти с Андроида. Даже в режиме десктопа
😢3
Forwarded from SecAtor
В решениях Atlassian и ISC BIND обнаружены серьезные недостатки, которые могут быть использованы для DoS и RCE.
Австралийский поставщик ПО выпустил в новых версиях исправления для четырех серьезных ошибок в Jira, Confluence, Bitbucket и Bamboo.
Самая серьезная из этих проблем CVE-2023-22513 (CVSS: 8,5) описывается как уязвимость RCE в Bitbucket. Аутентифицированный злоумышленник может воспользоваться уязвимостью без взаимодействия с пользователем. Проблема появилась в Bitbucket версии 8.0.0 и затрагивает большинство выпусков до версии 8.14.0.
Вторая CVE-2023-22512 (CVSS 7,5) - это DoS-проблема в продуктах Confluence Data Center и Server (начиная с версии 5.6 затрагивает выпуски продукта до 8.5.0 включительно). Злоумышленник, не прошедший проверку подлинности, может воспользоваться этой уязвимостью, чтобы запретить доступ к ресурсам, временно или на неопределенный срок нарушая работу служб уязвимого хоста, подключенного к сети.
CVE-2023-28709 (CVSS 7,5), описывается как DoS-ошибка на сервере Apache Tomcat, влияющая на Bamboo. Причем в Apache Tomcat уязвимость существует потому, что исправление другой уязвимости, CVE-2023-24998, было неполным.
Обновления, выпущенные для Jira, устраняют CVE-2022-25647 (CVSS 7,5), ошибку десериализации в пакете Google Gson, влияющую на управление исправлениями в Jira Service Management.
Две серьезные ошибки закрыты ISC в Berkeley Internet Name Domain 9 (BIND).
CVE-2023-3341 (CVSS: 7,5) представляет собой ошибку исчерпания стека в коде канала управления и может привести к неожиданному завершению работы метода Name (исправлено в версиях 9.16.44, 9.18.19, 9.19.17, 9.16.44-S1 и 9.18, 19-S1).
Другая CVE-2023-4236 (CVSS: 7,5) - это ошибка в сетевом коде, обрабатывающем запросы DNS-over-TLS, может привести к неожиданному завершению named. Это происходит, когда внутренние структуры данных неправильно повторно используются при значительной нагрузке запросов (исправлена в версиях 9.18.19 и 9.18.19-S1).
Данных об использований уязвимостей в злонамеренных атаках не сообщается.
Австралийский поставщик ПО выпустил в новых версиях исправления для четырех серьезных ошибок в Jira, Confluence, Bitbucket и Bamboo.
Самая серьезная из этих проблем CVE-2023-22513 (CVSS: 8,5) описывается как уязвимость RCE в Bitbucket. Аутентифицированный злоумышленник может воспользоваться уязвимостью без взаимодействия с пользователем. Проблема появилась в Bitbucket версии 8.0.0 и затрагивает большинство выпусков до версии 8.14.0.
Вторая CVE-2023-22512 (CVSS 7,5) - это DoS-проблема в продуктах Confluence Data Center и Server (начиная с версии 5.6 затрагивает выпуски продукта до 8.5.0 включительно). Злоумышленник, не прошедший проверку подлинности, может воспользоваться этой уязвимостью, чтобы запретить доступ к ресурсам, временно или на неопределенный срок нарушая работу служб уязвимого хоста, подключенного к сети.
CVE-2023-28709 (CVSS 7,5), описывается как DoS-ошибка на сервере Apache Tomcat, влияющая на Bamboo. Причем в Apache Tomcat уязвимость существует потому, что исправление другой уязвимости, CVE-2023-24998, было неполным.
Обновления, выпущенные для Jira, устраняют CVE-2022-25647 (CVSS 7,5), ошибку десериализации в пакете Google Gson, влияющую на управление исправлениями в Jira Service Management.
Две серьезные ошибки закрыты ISC в Berkeley Internet Name Domain 9 (BIND).
CVE-2023-3341 (CVSS: 7,5) представляет собой ошибку исчерпания стека в коде канала управления и может привести к неожиданному завершению работы метода Name (исправлено в версиях 9.16.44, 9.18.19, 9.19.17, 9.16.44-S1 и 9.18, 19-S1).
Другая CVE-2023-4236 (CVSS: 7,5) - это ошибка в сетевом коде, обрабатывающем запросы DNS-over-TLS, может привести к неожиданному завершению named. Это происходит, когда внутренние структуры данных неправильно повторно используются при значительной нагрузке запросов (исправлена в версиях 9.18.19 и 9.18.19-S1).
Данных об использований уязвимостей в злонамеренных атаках не сообщается.
🥰1💯1
Классика. просто с безнихуя на пустом месте.
P.S. коменты нашего девопса:
когда обновляли деплой, потеряли важную фичу - фриз хэшей образов. известный факт, что под одним и тем же тегом на докер-хабе образы обновляют. Это пидоры запушили под тег версии НЕ РАБОЧИЙ образ. Они что -то в образе обновили, это что-то начало ругаться на старую версию команды git и не запускаться. А саму команду гит они обновили в другой версии образа.
P.S. коменты нашего девопса:
когда обновляли деплой, потеряли важную фичу - фриз хэшей образов. известный факт, что под одним и тем же тегом на докер-хабе образы обновляют. Это пидоры запушили под тег версии НЕ РАБОЧИЙ образ. Они что -то в образе обновили, это что-то начало ругаться на старую версию команды git и не запускаться. А саму команду гит они обновили в другой версии образа.
🤩1
Критический баг в Atlassian Confluence приводит к потере данных — Хакер
https://xakep.ru/2023/11/01/critical-confluence-flaw/
https://xakep.ru/2023/11/01/critical-confluence-flaw/
XAKEP
Критический баг в Atlassian Confluence приводит к потере данных
Компания Atlassian предупредила администраторов о критической уязвимости в Confluence. Эксплуатация этой проблемы может привести к потере данных, поэтому разработчики призывают установить патчи как можно быстрее.
Хакеры уже используют критический баг в Atlassian Confluence — Хакер
https://xakep.ru/2023/11/07/cve-2023-22518/
https://xakep.ru/2023/11/07/cve-2023-22518/
XAKEP
Хакеры уже используют критический баг в Atlassian Confluence
По словам ИБ-специалистов, критическая уязвимость в Atlassian Confluence, которая позволяет уничтожать данные на уязвимых серверах (CVE-2023-22518), уже активно используется злоумышленниками для установки программ-вымогателей.
Forwarded from Владимир
Confluence - vulnerability assessment, exploit, necessary files and examples, with a post-exploitation example.
https://github.com/ForceFledgling/CVE-2023-22518
https://github.com/ForceFledgling/CVE-2023-22518
GitHub
GitHub - ForceFledgling/CVE-2023-22518: Improper Authorization Vulnerability in Confluence Data Center and Server
Improper Authorization Vulnerability in Confluence Data Center and Server - ForceFledgling/CVE-2023-22518
# По умолчанию приходит список из первых 25 элементов. В .... например веток больше, чем 25 и нужные не попадает в список.
branches = session.get(f'{_SERVER_URL}/rest/api/1.0/projects/{project}/repos/{repo}/branches', params={'limit': 999}).json()
Мы делаем только пидорское апи. Чтобы вступить в говно, но не сразу. А потом сладенько поебаться в срачечку.
❤1
Это цитата из одного разработческого чата. Да, так о нас думают многие. Мы же ебанаты и не умеем в секурити.
«Аэродиск» заменил Jira на SimpleOne / Хабр
https://habr.com/ru/news/786070/
https://habr.com/ru/news/786070/
Хабр
«Аэродиск» заменил Jira на SimpleOne
«Аэродиск», отечественный разработчик и производитель СХД, перешёл с Jira на отечественную ITSM-систему SimpleOne, сообщает Cnews. SimpleOne была выбрана среди 6 предложенных инструментов,...