Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Ошибка в обработчике GitHub Actions привела к публикации вредоносных релизов Ultralytics"	+/–
Сообщение от opennews (??), 07-Дек-24, 16:03
Злоумышленники смогли выполнить код с правами обработчика  GitHub Actions в репозитории Python-библиотеки Ultralytics, применяемой для решения задач компьютерного зрения, таких как определение объектов на изображениях и сегментирование изображений. После получения доступа к репозиторию атакующие опубликовали в каталоге PyPI несколько новых релизов Ultralytics, включающих вредоносные изменения для майнинга криптовалют. За последний месяц библиотека Ultralytics была загружена из каталога PyPI более 6.4 млн раз... Подробнее: https://www.opennet.me/opennews/art.shtml?num=62365
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Ошибка в обработчике GitHub Actions привела к публикации вре..."	+5 +/–
Сообщение от Аноним (1), 07-Дек-24, 16:03
красиво, чо... компьютерное зрение удачно выбрано
Ответить | Правка | Наверх | Cообщить модератору

2. "Ошибка в обработчике GitHub Actions привела к публикации вре..."	+/–
Сообщение от YetAnotherOnanym (ok), 07-Дек-24, 16:07
> в секции "run" файла action.yml, в котором присутствовали shell-команды Классика жанра.
Ответить | Правка | Наверх | Cообщить модератору

	4. "Ошибка в обработчике GitHub Actions привела к публикации вре..."	+5 +/–
	Сообщение от Аноним (4), 07-Дек-24, 16:38
	Неа. Классика жанра - это "в shell-команды без должного экранирования"
	Ответить | Правка | Наверх | Cообщить модератору

	41. "Ошибка в обработчике GitHub Actions привела к публикации вре..."	+/–
	Сообщение от YetAnotherOnanym (ok), 08-Дек-24, 11:02
	Тут как-то мелькнула новость о взломе чего-то, когда в аргументы шелл-команды злые хакеры пропихнули что-то своё в виде эскейпнутых 16-ричных кодов. Проверка такую строку пропустила, а шелл преобразовала кода обратно в символы и выполнила команду хакера. Вообще, использовать run (оно же в разных языках command, system и пр.) - это такой же моветон, как goto в си. Но подтянуть либу и дёрнуть функцию из её - это слишком сложно, поэтому рядовой юзер тупо прописывает привычную командную строку в аргументе run.
	Ответить | Правка | Наверх | Cообщить модератору

	53. "Ошибка в обработчике GitHub Actions привела к публикации вре..."	+/–
	Сообщение от Аноним (53), 10-Дек-24, 15:03
	>Тут как-то мелькнула новость о взломе чего-то, когда в аргументы шелл-команды злые хакеры пропихнули что-то своё в виде эскейпнутых 16-ричных кодов. Проверка такую строку пропустила, а шелл преобразовала кода обратно в символы и выполнила команду хакера. Неправильно реализовали экранирование >Но подтянуть либу и дёрнуть функцию из её - это слишком сложно Это не всегда возможно, так как библиотеки может просто не быть для нужно языка, а склеивать несколько языков будет сложно.
	Ответить | Правка | Наверх | Cообщить модератору

	25. "Ошибка в обработчике GitHub Actions привела к публикации вре..."	–8 +/–
	Сообщение от Аноним (53), 07-Дек-24, 22:25
	Классика жанра - это диды, пишущие скрипты на баше, но так и не научившиеся эти скрипты писать безопасно. А потом, они ещё и рассказывают, что баш выучить легче чем nix.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	29. "Ошибка в обработчике GitHub Actions привела к публикации вре..."	+/–
	Сообщение от scriptkiddis (?), 07-Дек-24, 23:07
	Так а на чем надо писать?
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Ошибка в обработчике GitHub Actions привела к публикации вре..."	–3 +/–
	Сообщение от Аноним (32), 08-Дек-24, 00:47
	> Так а на чем надо писать? На лиспе разумеется. Если нет - на руби. Если ну уж сильно не нравится, то даже питон будет лучше баша. Вообще сложно представить что-то, что будет хуже баша.
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Ошибка в обработчике GitHub Actions привела к публикации вре..."	+3 +/–
	Сообщение от bergentroll (ok), 08-Дек-24, 08:17
	На бумаге, на бумаге!
	Ответить | Правка | Наверх | Cообщить модератору

	52. "Ошибка в обработчике GitHub Actions привела к публикации вре..."	+/–
	Сообщение от myster (ok), 09-Дек-24, 11:49
	> Вообще сложно представить что-то, что будет хуже баша. В Bash скриптах участие самого Bash минимально. В основном, shell скрипты - это запуск UNIX утилит и других программ и обработка их вывода. Использовать тут что-то другое, кроме Shell синтаксиса (будь то Bash, ZSH, KSH, Fish и тп оболочки, не важно) выглядит как Overkill. Даже Pythion overkill, для этих задач.
	Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

	39. "Ошибка в обработчике GitHub Actions привела к публикации вре..."	+2 +/–
	Сообщение от Аноним (39), 08-Дек-24, 08:44
	Там не важно на чём писать, там исходный код (в данном случае баш-выражение) генерируется через текстовый шаблон. Если ты даёшь пользователю возможность в этот шаблон подставлять что угодно без экранирования, то это - дыра. Хоть в лисп, хоть куда. То есть претензии к А) шаблонизатору, Б) гатхаб акшонам, которые хотят на вход беш-выражение.
	Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

	42. "Ошибка в обработчике GitHub Actions привела к публикации вре..."	+3 +/–
	Сообщение от YetAnotherOnanym (ok), 08-Дек-24, 11:13
	Но-но-но! Вот не надо тут насчёт дидов и баша, тут не тема не про sysvinit! Молодняк держится вполне вровень с дидами насчёт вызова шелл-команд из других языков. Когда надо что-то сделать с какими-то данными, проще всего вколотить знакомую строку в аргумент для run, чем импортировать .so'шную либу и вызвать из неё нужную функцию. Проще загнать аргументы одной строкой "--key1 value1 --key2 value2", чем составлять массив туплов [("key1","value1"),("key2","value2")], проще принять и обработать exit code от run, чем ловить крах вызова функции. А потом приходит расплата за лень.
	Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

6. "Ошибка в обработчике GitHub Actions привела к публикации вре..."	+/–
Сообщение от нах. (?), 07-Дек-24, 16:50
Хорошо, очень хорошо, просто замечательно!
Ответить | Правка | Наверх | Cообщить модератору

	11. "Ошибка в обработчике GitHub Actions привела к публикации вре..."	–1 +/–
	Сообщение от Аноним (11), 07-Дек-24, 18:40
	Ну для тех кто не делал открытого софта это может и хорошо, а мне как-то не очень.
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Ошибка в обработчике GitHub Actions привела к публикации вре..."	+2 +/–
	Сообщение от Аноним (40), 08-Дек-24, 10:34
	Это ошибочное мнение, что для того, чтобы делать открытый софт, нужно подлезть под Майкрософт с его финишовым поделием.
	Ответить | Правка | Наверх | Cообщить модератору

	46. "Ошибка в обработчике GitHub Actions привела к публикации вре..."	+/–
	Сообщение от нах. (?), 08-Дек-24, 17:57
	твой хеловрот к сожалению уже написан. А чтобы делать софт делаемый большими командами - нужно либо еще одну команду - профессиональных админов, плюс заставлять бедных неженок у которых так не хватает времени и сил на копипасту со стековерфлова учиться непривычным то языкам, то инструментам, а то ж они и патч оформить не смогут. Плюс (то есть минус) что за теми инструментами не стоит microsoft с миллиардными зарплатами, и они в общем-то быстро устаревают не успевая угоняться за модными тенденциями.
	Ответить | Правка | Наверх | Cообщить модератору

	49. "Ошибка в обработчике GitHub Actions привела к публикации вре..."	+/–
	Сообщение от Аноним (49), 09-Дек-24, 01:04
	Очень интересно, в какой компании вы работаете...
	Ответить | Правка | Наверх | Cообщить модератору

	51. "Ошибка в обработчике GitHub Actions привела к публикации вре..."	+/–
	Сообщение от Аноним (51), 09-Дек-24, 06:49
	Это ошибочное мнение, что для того, чтобы делать открытый софт, нужно обязательно использовать какой-то публичный сервер Git. Можно поднять его на собственной инфраструктуре. Так и поступают некоторые проекты. Если проект небольшой (как в моем случае - личный), то публичный репозиторий можно использовать только для распространения СПО.
	Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

14. "Ошибка в обработчике GitHub Actions привела к публикации вре..."	+6 +/–
Сообщение от InuYasha (??), 07-Дек-24, 19:29
Дивный новый мир. В нём миллионы автоматически цепляющихся из централизованных гитов зависимостей, ленивых разработчиков, чрезмерно интегрированных IDE, и забрасывание релизов старше 10 минут. Владелец реймворка правит миром. Update or die. Как это мило когда они страдают. :3
Ответить | Правка | Наверх | Cообщить модератору

	19. "Ошибка в обработчике GitHub Actions привела к публикации вре..."	–4 +/–
	Сообщение от Аноним (19), 07-Дек-24, 20:05
	И они ещё и отрицают докер. Хотя тут минималка это отдельная виртуалка на отдельном сервере.
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Ошибка в обработчике GitHub Actions привела к публикации вре..."	+/–
	Сообщение от Аноним (21), 07-Дек-24, 21:54
	Docker платный и 100% гарантию не даст. И rust ваш не даст от таких атак гарантий. Кто-то ранее писал о переполнении - при чем тут переполнение? Ещё не известно что именно повлияло на конечный результат. Microsoft вообще любители нанять индусов и развести культуру качества по количеству кода у них, хоть официально вроде от этого отказались, тем не менее некоторые индусы и после этого жаловались. Они как найдут какой-нибудь способ что-то делать и везде его применяют не задумываясь о безопасности или целесообразности чего-либо применять. А потом жалуются.
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Ошибка в обработчике GitHub Actions привела к публикации вре..."	+/–
	Сообщение от анон (?), 07-Дек-24, 22:51
	Кому и зачем вы платите за докер?
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Ошибка в обработчике GitHub Actions привела к публикации вре..."	+/–
	Сообщение от Аноним (-), 08-Дек-24, 20:52
	Ну не все компании Microsoft в России созданы. По законодательству некоторых стран лицензионное соглашение для коммерческого использования подразумевает оплату. Если вы политик, то конечно могли бы принять закон о том что в России отменяются американские законы и на их серверах можно спокойно размещать Docker, возможно даже все сервера мира Microsoft перетащит в Россию, куда-нибудь под Нью-Васюки для того чтобы пользоваться Docker бесплатно.
	Ответить | Правка | Наверх | Cообщить модератору

15. Скрыто модератором	+1 +/–
Сообщение от Аноним (15), 07-Дек-24, 19:31
ну що, сынку, допомогла тоби твоя двоххвакторка? интересна цель атакующих, кстати
Ответить | Правка | Наверх | Cообщить модератору

35. "Ошибка в обработчике GitHub Actions привела к публикации вре..."	+/–
Сообщение от Аноним (35), 08-Дек-24, 04:47
>в shell-команды без должного экранирования подставлялось название Git-ветки, упоминаемой в pull-запросе. Переводя на обычный: Выполни код, на который указал незнакомец.
Ответить | Правка | Наверх | Cообщить модератору

36. "Ошибка в обработчике GitHub Actions привела к публикации вре..."	+1 +/–
Сообщение от Carantin (?), 08-Дек-24, 06:39
А какую крипту майнили?
Ответить | Правка | Наверх | Cообщить модератору

37. "Ошибка в обработчике GitHub Actions привела к публикации вре..."	+/–
Сообщение от Аноним (35), 08-Дек-24, 07:15
Печально, что у таких "раздалвателей" 6 млн загрузок.
Ответить | Правка | Наверх | Cообщить модератору

	45. "Ошибка в обработчике GitHub Actions привела к публикации вре..."	+2 +/–
	Сообщение от Ееее (?), 08-Дек-24, 17:27
	Крипта сама себя не намайнит.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема