Что нового
  • Что бы вступить в ряды "Принятый кодер" Вам нужно:
    Написать 10 полезных сообщений или тем и Получить 10 симпатий.
    Для того кто не хочет терять время,может пожертвовать средства для поддержки сервеса, и вступить в ряды VIP на месяц, дополнительная информация в лс.

  • Пользаватели которые будут спамить, уходят в бан без предупреждения. Спам сообщения определяется администрацией и модератором.

  • Гость, Что бы Вы хотели увидеть на нашем Форуме? Изложить свои идеи и пожелания по улучшению форума Вы можете поделиться с нами здесь. ----> Перейдите сюда
  • Все пользователи не прошедшие проверку электронной почты будут заблокированы. Все вопросы с разблокировкой обращайтесь по адресу электронной почте : info@guardianelinks.com . Не пришло сообщение о проверке или о сбросе также сообщите нам.

Github Выплатила $18 000 Человеку, Обнаружившему Rce-уязвимость В Github Enterprise

Sascha

Заместитель Администратора
Команда форума
Администратор
Регистрация
9 Май 2015
Сообщения
1,071
Баллы
155
Возраст
51
Серьёзный баг мешал работе GitHub Enterprise и создавал потенциальную опасность взлома консоли управления. За его обнаружение компания GitHub выплатила Маркусу Фенске кругленькую сумму в размере 18 тысяч долларов.

По словам самого Маркуса Фенске, независимого исследователя из Германии, GitHub наградила его данной суммой за обнаружение серьёзной уязвимости в системе безопасности

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

. Это версия GitHub, предназначенная для корпоративных клиентов, которая отличается от обычной более строгим контролем над правами доступа к проектам.

В своём блоге Фенске

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, что GitHub Enterprise использует по большей части тот же код, что и основная версия, но при этом ему удалось взломать консоль управления с помощью комбинации двух багов. Теоретически, у потенциальных взломщиков была возможность удалённого исполнения кода, а значит, и хищения данных или перехвата сеанса.

Что же вызвало подобную проблему?


Система безопасности была под угрозой из-за использования статического секретного ключа для шифрования подписи cookie сеанса вместо случайно сгенерированного набора чисел. Подобная система изначально использовалась только для тестирования и разработки, но её так и не заменили.

Почётная награда


Впервые об уязвимости системы Фенске сообщил компании GitHub 26 января, за что получил 10 тысяч долларов уже 31 числа того же месяца. После исправления багов в новой версии GitHub Enterprise 2.8.7, выпущенной в марте, команда GitHub дополнительно выплатила Маркусу ещё 8 тысяч долларов и удостоила его места в

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

GitHub.

Фенске отметил:


По приблизительным подсчётам, теперь на взлом понадобится примерно 469 142 742 208 миллиардов лет (к слову, Солнце прекратит существование через 7,7 миллиардов лет).


Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

.
 
Вверх