Уязвимость в платформе совместной разработки Gogs, позволяющая выполнить код на сервере

25.06.2025 10:43

В платформе совместной разработки Gogs выявлена уязвимость, которой присвоен критический уровень опасности (10 из 10). Уязвимость позволяет непривилегированному пользователю Gogs изменить исходный код других пользователей сервиса, а также выполнить произвольные команды на сервере с правами пользователя, указанного через параметр RUN_USER в конфигурации Gogs. Уязвимость устранена в обновлении Gogs 0.13.3. Проблема является следствием неполного исправления уязвимости CVE-2024-39931, раскрытой в декабре. Уязвимость не затрагивает платформы Forgejo и Gitea, продолжающие развитие форка Gogs, созданного в 2016 году.

Уязвимость вызвана возможностью манипуляции файлами в каталоге .git из web-редактора репозиториев. При исправлении уязвимости в декабре была добавлена проверка загрузки файлов в каталог .git, но осталась не полностью блокирована возможность удаления файлов. В частности, при удалении проверялось совпадение файлового пути с каталогом .git, но не выполнялись проверки символических ссылок. Для обхода добавленной проверки достаточно было создать символическую ссылку, указывающую на каталог .git, и в дальнейшем использовать эту ссылку для удаления содержимого, вместо прямого обращения к каталогу .git.

исправить +6 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/63460-gogs

Ключевые слова: gogs

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (42)

1.1, Кошкажена (?), 10:51, 25/06/2025 [ответить] [﹢﹢﹢] [ · · · ]	+6 +/–
Главное, что Forgejo не затрагивает.

2.9, penetrator (?), 13:10, 25/06/2025 [^] [^^] [^^^] [ответить]

+/–

может пока еще не нашли?

теперь кстати не только на гитлаб гнать будут

3.25, Аноним (25), 15:52, 25/06/2025 [^] [^^] [^^^] [ответить]	+/–
Все кто надо давно сидят на fossil.

4.31, 12yoexpert (ok), 17:06, 25/06/2025 [^] [^^] [^^^] [ответить]	+/–
это маркетинговый булшит, а не vcs

4.37, Аноним (-), 19:02, 25/06/2025 Скрыто ботом-модератором [к модератору]	+1 +/–

4.39, _ (??), 19:08, 25/06/2025 [^] [^^] [^^^] [ответить]	+/–
Имя сестра! Имя! Насколько я не в курсе - на нём SQLite (ну ещё бы! ;-) ) ... и всё ...

4.43, penetrator (?), 20:52, 25/06/2025 [^] [^^] [^^^] [ответить]

–1 +/–

> Все кто надо давно сидят на fossil.

не знаю, что за оно

у меня выдает

Fossil US - The Official Site for Fossil Watches, Handbags, Jewelry ...

5.46, нах. (?), 22:19, 25/06/2025 [^] [^^] [^^^] [ответить]	+/–
эксперт, спешите видеть!

1.3, Ося Бендер (?), 11:08, 25/06/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Это, где все изменения принимаются одним самым главным? Ну дык, результат очевиден, получите, распишитесь.

2.4, пох. (?), 11:40, 25/06/2025 [^] [^^] [^^^] [ответить]	–1 +/–
с этого места поподробнее - где это у вас изменения принимаются стаей обезьян? Я уже бегу к ним со своими патчами. (педо6иржпг)

3.8, Самый Лучший Гусь (?), 13:09, 25/06/2025 [^] [^^] [^^^] [ответить]	–2 +/–
Стая обезьян по определению лучше чем один даже очень большой обезьян

4.11, пох. (?), 13:18, 25/06/2025 [^] [^^] [^^^] [ответить]	+3 +/–
тебе просто повезло не бывать в тех краях где можно встретить стаю обезьян

4.15, Аноним (-), 13:37, 25/06/2025 [^] [^^] [^^^] [ответить]	+1 +/–
> Стая обезьян по определению лучше чем один даже очень большой обезьян А если им еще гранату дать - шоу становится значительно интереснее. Главное не забыть вовремя отойти на безопасную дистанцию.

4.16, Смузихлеб забывший пароль (?), 13:39, 25/06/2025 [^] [^^] [^^^] [ответить]	+/–
Если обезьян более одной, то, вне зависимости от изначальной проблемы, заранее понятно, что всё кончится взаимным закидыванием чем-то мягким и коричневым А не коллективным пин.. порицанием одного, даже большого, обезьяна

1.5, User (??), 12:07, 25/06/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Третьего дня тут над gitlab'ом растыкали, рассказывали, что всё дело в рубях, которые, разумеется - не для сложных проектов. Ну чо - показали, КАК НАДО, молодцы!

2.12, пох. (?), 13:19, 25/06/2025 Скрыто ботом-модератором [к модератору]	+/–

3.21, User (??), 13:53, 25/06/2025 Скрыто ботом-модератором [к модератору]	+2 +/–

1.6, Аноним (6), 12:11, 25/06/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Тут говорили, что Go это тоже безопасТно.

2.10, Самый Лучший Гусь (?), 13:10, 25/06/2025 [^] [^^] [^^^] [ответить]	–1 +/–
В среднем програмы на Go действительно безопастнее. Язык сам по себе даёт где то на 40% меньше возможностей выстрелить в ногу

3.13, EMail (?), 13:28, 25/06/2025 [^] [^^] [^^^] [ответить]	+/–
Дома сидеть в среднем тоже безопаснее, чем на улицу выходить. На тротуаре - чем на дороге. На дороге - чем на войне. Нужно всех добровольно-принудительно посадить в индивидуальные свинцово-титановые капсулы, зарытые глубоко под землёй в бункерах. Там будут видосики и игрульки с супер-дупер-фул-эйчди на самых безопасных ОС в мире. Приносить еду и уносить отходы жизнедеятельности будут роботы. Решения тоже будут принимать роботы. Очень безопасно.

4.14, Самый Лучший Гусь (?), 13:31, 25/06/2025 [^] [^^] [^^^] [ответить]

–1 +/–

> Дома сидеть в среднем тоже безопаснее, чем на улицу выходить. На тротуаре
> - чем на дороге. На дороге - чем на войне. Нужно
> всех добровольно-принудительно посадить в индивидуальные свинцово-титановые капсулы,
> зарытые глубоко под землёй в бункерах. Там будут видосики и игрульки
> с супер-дупер-фул-эйчди на самых безопасных ОС в мире. Приносить еду и
> уносить отходы жизнедеятельности будут роботы. Решения тоже будут принимать роботы. Очень
> безопасно.

Для этого надо всем дружно подключатся к программе Rosetta@home и вычислять протеины

5.20, Аноним (20), 13:49, 25/06/2025 [^] [^^] [^^^] [ответить]	+/–
Хотя, на самом деле, там хз что в качестве задания подсовывают.

4.19, Аноним (20), 13:46, 25/06/2025 [^] [^^] [^^^] [ответить]	+/–
Погодите-ка, да это же The Matrix!

5.22, пох. (?), 15:10, 25/06/2025 [^] [^^] [^^^] [ответить]

–1 +/–

> Погодите-ка, да это же The Matrix!

matrix это ж фантастика. А на деле роботам быстро надоест выносить за тобой горшок, из игрушек оставят тетрис, и только тем кто педали крутит хорошо и быстро.

А капсула изнутри-то не открывается, так что будешь крутить.

6.26, Самый Лучший Гусь (?), 15:55, 25/06/2025 [^] [^^] [^^^] [ответить]	+/–
Роботы за халявную энергию будут и горошок выносить и даже массаж ушей делать. Другое дело что это нарушает фундаментальные свободы человека. Фильм то про это

7.27, пох. (?), 16:17, 25/06/2025 [^] [^^] [^^^] [ответить]	+/–
зачем им? Они мгновенно оптимизируют процесс, подключив тебе, батарейка кожанная, электрод к заднице. Фильм про то что (сказочные) роботы оказались добрыми, и человеков правда зачем-то стали ублажать, поскольку другой цели в жизни не нашли. А человеки предпочитают хрючевом в грязи давиться но побороться за шв@6одку. (ну и по дороге других человеков поубивать немного, роботы-то бессмертны, как оказалось, им пофигу)

6.32, 12yoexpert (ok), 17:09, 25/06/2025 [^] [^^] [^^^] [ответить]	+/–
> matrix это ж фантастика это твоя реальность

3.44, Аноним (44), 21:09, 25/06/2025 [^] [^^] [^^^] [ответить]	+/–
>Язык сам по себе даёт где то на 40% меньше возможностей

2.18, Аноним (25), 13:40, 25/06/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Так за границы буфера никто и не выходил. А то что специально внедрено отверстие для китайских служб это от языка не зависит.

3.28, Аноним (28), 17:02, 25/06/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Это не важно - главное говны на вентилятор накинуть.

2.35, OpenEcho (?), 18:22, 25/06/2025 [^] [^^] [^^^] [ответить]	+/–
> Тут говорили, что Go это тоже безопасТно. Безопастно только там, - где много бьют и сильно ограничивают за любые косяки

1.17, Аноним (25), 13:39, 25/06/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Главный форк это Gitea, а не Forgejo. И про главный форк ни слова. Ясно понятно, вот так и используй продукт от китайского разработчика.

2.23, Аноним (23), 15:36, 25/06/2025 [^] [^^] [^^^] [ответить]	+/–
что значит “главный” форк? кто это определяет и главное зачем?

3.24, Аноним (25), 15:43, 25/06/2025 [^] [^^] [^^^] [ответить]	–1 +/–
Массовый потребитель. Чем больше установок тем главнее.

4.30, Аноним (28), 17:03, 25/06/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Не так. У кого больше денего у того и главный форк. А то что миллионы людей ставят так просто тестируют.

4.33, 12yoexpert (ok), 17:10, 25/06/2025 [^] [^^] [^^^] [ответить]	+/–
а количество установок ты сам считал? или ты про звёздочки на гитхабе

1.34, Аноним (34), 17:34, 25/06/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Давно заметил тенденцию - во всем что имеет вебморду находят критические уязвимости. Намного чаще чем в софте, использующем консольный интерфейс. Да и в принципе, если прикинуть - больше всего уязвимостей в вебне всякой.

2.36, OpenEcho (?), 18:24, 25/06/2025 [^] [^^] [^^^] [ответить]	+/–
А ничего что вебня торчит мордой на весь мир в отличии от консольных прог и естесвенно занчительно больше привлекательна для взлома?

3.40, _ (??), 19:15, 25/06/2025 [^] [^^] [^^^] [ответить]	+/–
Чёйта?! Все эти *hub-ы вполне себе ssh доступ предоставляют.

4.41, нах. (?), 19:37, 25/06/2025 [^] [^^] [^^^] [ответить]

+/–

с кастированным сервером (как раз дабы чего не вышло) и только и исключительно к командам git.

Поуправлять проектом через него - низзя, вот тебе нескучный рест апи.

5.42, 12yoexpert (ok), 20:36, 25/06/2025 [^] [^^] [^^^] [ответить]	+/–
делаешь git init --bare и не дуришь людям головы

6.45, нах. (?), 22:17, 25/06/2025 [^] [^^] [^^^] [ответить]	+/–
осспаде... ну и дypaчок же ты...

4.47, OpenEcho (?), 22:58, 25/06/2025 [^] [^^] [^^^] [ответить]	+/–
> Чёйта?! Все эти hub-ы вполне себе ssh доступ предоставляют. И в каком слове из "во всем что имеет вебморду" подставить SSH ??? И с каких это пор "веморды" ВСЕ имеют hub и тем более ssh ?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: