The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Ошибка в обработчике GitHub Actions привела к публикации вредоносных релизов Ultralytics"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Ошибка в обработчике GitHub Actions привела к публикации вредоносных релизов Ultralytics"  +/
Сообщение от opennews (??), 07-Дек-24, 16:03 
Злоумышленники смогли выполнить код с правами обработчика  GitHub Actions в репозитории Python-библиотеки Ultralytics, применяемой для решения задач компьютерного зрения, таких как определение объектов на изображениях и сегментирование изображений. После получения доступа к репозиторию атакующие опубликовали в каталоге PyPI несколько новых релизов Ultralytics, включающих вредоносные изменения для майнинга криптовалют. За последний месяц библиотека Ultralytics была загружена из каталога PyPI более 6.4 млн раз...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=62365

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  +5 +/
Сообщение от Аноним (1), 07-Дек-24, 16:03 
красиво, чо...

компьютерное зрение удачно выбрано

Ответить | Правка | Наверх | Cообщить модератору

2. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  +/
Сообщение от YetAnotherOnanym (ok), 07-Дек-24, 16:07 
> в секции "run" файла action.yml, в котором присутствовали shell-команды

Классика жанра.

Ответить | Правка | Наверх | Cообщить модератору

4. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  +5 +/
Сообщение от Аноним (4), 07-Дек-24, 16:38 
Неа. Классика жанра - это "в shell-команды без должного экранирования"
Ответить | Правка | Наверх | Cообщить модератору

41. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  +/
Сообщение от YetAnotherOnanym (ok), 08-Дек-24, 11:02 
Тут как-то мелькнула новость о взломе чего-то, когда в аргументы шелл-команды злые хакеры пропихнули что-то своё в виде эскейпнутых 16-ричных кодов. Проверка такую строку пропустила, а шелл преобразовала кода обратно в символы и выполнила команду хакера.
Вообще, использовать run (оно же в разных языках command, system и пр.) - это такой же моветон, как goto в си. Но подтянуть либу и дёрнуть функцию из её - это слишком сложно, поэтому рядовой юзер тупо прописывает привычную командную строку в аргументе run.
Ответить | Правка | Наверх | Cообщить модератору

53. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  +/
Сообщение от Аноним (53), 10-Дек-24, 15:03 
>Тут как-то мелькнула новость о взломе чего-то, когда в аргументы шелл-команды злые хакеры пропихнули что-то своё в виде эскейпнутых 16-ричных кодов. Проверка такую строку пропустила, а шелл преобразовала кода обратно в символы и выполнила команду хакера.

Неправильно реализовали экранирование
>Но подтянуть либу и дёрнуть функцию из её - это слишком сложно

Это не всегда возможно, так как библиотеки может просто не быть для нужно языка, а склеивать несколько языков будет сложно.

Ответить | Правка | Наверх | Cообщить модератору

25. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  –10 +/
Сообщение от Аноним (53), 07-Дек-24, 22:25 
Классика жанра - это диды, пишущие скрипты на баше, но так и не научившиеся эти скрипты писать безопасно. А потом, они ещё и рассказывают, что баш выучить легче чем nix.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

29. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  +/
Сообщение от scriptkiddis (?), 07-Дек-24, 23:07 
Так а на чем надо писать?
Ответить | Правка | Наверх | Cообщить модератору

32. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  –3 +/
Сообщение от Аноним (32), 08-Дек-24, 00:47 
> Так а на чем надо писать?

На лиспе разумеется.
Если нет - на руби.
Если ну уж сильно не нравится, то даже питон будет лучше баша.

Вообще сложно представить что-то, что будет хуже баша.

Ответить | Правка | Наверх | Cообщить модератору

38. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  +3 +/
Сообщение от bergentroll (ok), 08-Дек-24, 08:17 
На бумаге, на бумаге!
Ответить | Правка | Наверх | Cообщить модератору

52. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  +/
Сообщение от myster (ok), 09-Дек-24, 11:49 
> Вообще сложно представить что-то, что будет хуже баша.

В Bash скриптах участие самого Bash минимально. В основном, shell скрипты - это запуск UNIX утилит и других программ и обработка их вывода. Использовать тут что-то другое, кроме Shell синтаксиса (будь то Bash, ZSH, KSH, Fish и тп оболочки, не важно) выглядит как Overkill. Даже Pythion overkill, для этих задач.

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

39. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  +2 +/
Сообщение от Аноним (39), 08-Дек-24, 08:44 
Там не важно на чём писать, там исходный код (в данном случае баш-выражение) генерируется через текстовый шаблон. Если ты даёшь пользователю возможность в этот шаблон подставлять что угодно без экранирования, то это - дыра. Хоть в лисп, хоть куда.

То есть претензии к А) шаблонизатору, Б) гатхаб акшонам, которые хотят на вход беш-выражение.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

42. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  +3 +/
Сообщение от YetAnotherOnanym (ok), 08-Дек-24, 11:13 
Но-но-но! Вот не надо тут насчёт дидов и баша, тут не тема не про sysvinit!
Молодняк держится вполне вровень с дидами насчёт вызова шелл-команд из других языков. Когда надо что-то сделать с какими-то данными, проще всего вколотить знакомую строку в аргумент для run, чем импортировать .so'шную либу и вызвать из неё нужную функцию. Проще загнать аргументы одной строкой "--key1 value1 --key2 value2", чем составлять массив туплов [("key1","value1"),("key2","value2")], проще принять и обработать exit code от run, чем ловить крах вызова функции. А потом приходит расплата за лень.
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

6. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  +/
Сообщение от нах. (?), 07-Дек-24, 16:50 
Хорошо, очень хорошо, просто замечательно!

Ответить | Правка | Наверх | Cообщить модератору

11. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  –1 +/
Сообщение от Аноним (11), 07-Дек-24, 18:40 
Ну для тех кто не делал открытого софта это может и хорошо, а мне как-то не очень.
Ответить | Правка | Наверх | Cообщить модератору

40. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  +2 +/
Сообщение от Аноним (40), 08-Дек-24, 10:34 
Это ошибочное мнение, что для того, чтобы делать открытый софт, нужно подлезть под Майкрософт с его финишовым поделием.
Ответить | Правка | Наверх | Cообщить модератору

46. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  +/
Сообщение от нах. (?), 08-Дек-24, 17:57 
твой хеловрот к сожалению уже написан. А чтобы делать софт делаемый большими командами - нужно либо еще одну команду - профессиональных админов, плюс заставлять бедных неженок у которых так не хватает времени и сил на копипасту со стековерфлова учиться непривычным то языкам, то инструментам, а то ж они и патч оформить не смогут.

Плюс (то есть минус) что за теми инструментами не стоит microsoft с миллиардными зарплатами, и они в общем-то быстро устаревают не успевая угоняться за модными тенденциями.

Ответить | Правка | Наверх | Cообщить модератору

49. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  +/
Сообщение от Аноним (49), 09-Дек-24, 01:04 
Очень интересно, в какой компании вы работаете...
Ответить | Правка | Наверх | Cообщить модератору

51. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  +/
Сообщение от Аноним (51), 09-Дек-24, 06:49 
Это ошибочное мнение, что для того, чтобы делать открытый софт, нужно обязательно использовать какой-то публичный сервер Git. Можно поднять его на собственной инфраструктуре. Так и поступают некоторые проекты.
Если проект небольшой (как в моем случае - личный), то публичный репозиторий можно использовать только для распространения СПО.
Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

54. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  +/
Сообщение от нах. (?), 13-Дек-24, 18:55 
> Если проект небольшой (как в моем случае - личный), то публичный репозиторий можно использовать
> только для распространения СПО.

угу - тебе открывают issue - ты его закрываешь "идите на мой ценный... а, впрочем, нет у тебя - вон в мэйл идите письма писать на деревню спамотcocину", пулреквест ? нахрен тот пулреквест, не так подан! Особенно для твоего хеловрота с полутора заинтересованными лицами это будет здорово. От тех полутора и половинки не останется (потому что никто никуда, разумеется, не пойдет, не так подано - ну и не пользуйся)

А если ты ничего такого не делаешь, за сообщениями следишь, пул-реквесты на шитхапе или шитляпе рассматриваешь - ну так поздравляю, теперь ты держишь ДВА сервиса, и тебе их еще и синхронизировать надо.

А собственную инфраструктуру содержать - довольно дорого, внезапно, обходится. Причем ладно б только в материальном плане - но можно и репутацией поплатиться. Вон афтыри php наглядный тебе пример показали. И раз у тебя уже есть одна, которую поддеживает дядя - рано или поздно ты вынужден будешь "принять сложное решение", и зарезать прожорливого порося, от которого никакой пользы нет.


Ответить | Правка | Наверх | Cообщить модератору

14. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  +6 +/
Сообщение от InuYasha (??), 07-Дек-24, 19:29 
Дивный новый мир. В нём миллионы автоматически цепляющихся из централизованных гитов зависимостей, ленивых разработчиков, чрезмерно интегрированных IDE, и забрасывание релизов старше 10 минут. Владелец реймворка правит миром. Update or die.

Как это мило когда они страдают. :3

Ответить | Правка | Наверх | Cообщить модератору

19. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  –4 +/
Сообщение от Аноним (19), 07-Дек-24, 20:05 
И они ещё и отрицают докер. Хотя тут минималка это отдельная виртуалка на отдельном сервере.
Ответить | Правка | Наверх | Cообщить модератору

21. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  +/
Сообщение от Аноним (21), 07-Дек-24, 21:54 
Docker платный и 100% гарантию не даст. И rust ваш не даст от таких атак гарантий. Кто-то ранее писал о переполнении - при чем тут переполнение? Ещё не известно что именно повлияло на конечный результат. Microsoft вообще любители нанять индусов и развести культуру качества по количеству кода у них, хоть официально вроде от этого отказались, тем не менее некоторые индусы и после этого жаловались. Они как найдут какой-нибудь способ что-то делать и везде его применяют не задумываясь о безопасности или целесообразности чего-либо применять. А потом жалуются.
Ответить | Правка | Наверх | Cообщить модератору

26. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  +/
Сообщение от анон (?), 07-Дек-24, 22:51 
Кому и зачем вы платите за докер?
Ответить | Правка | Наверх | Cообщить модератору

48. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  +/
Сообщение от Аноним (-), 08-Дек-24, 20:52 
Ну не все компании Microsoft в России созданы. По законодательству некоторых стран лицензионное соглашение для коммерческого использования подразумевает оплату. Если вы политик, то конечно могли бы принять закон о том что в России отменяются американские законы и на их серверах можно спокойно размещать Docker, возможно даже все сервера мира Microsoft перетащит в Россию, куда-нибудь под Нью-Васюки для того чтобы пользоваться Docker бесплатно.
Ответить | Правка | Наверх | Cообщить модератору

15. Скрыто модератором  +1 +/
Сообщение от Аноним (15), 07-Дек-24, 19:31 
Ответить | Правка | Наверх | Cообщить модератору

35. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  +/
Сообщение от Аноним (35), 08-Дек-24, 04:47 
>в shell-команды без должного экранирования подставлялось название Git-ветки, упоминаемой в pull-запросе.

Переводя на обычный:
Выполни код, на который указал незнакомец.

Ответить | Правка | Наверх | Cообщить модератору

36. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  +1 +/
Сообщение от Carantinemail (?), 08-Дек-24, 06:39 
А какую крипту майнили?
Ответить | Правка | Наверх | Cообщить модератору

37. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  +/
Сообщение от Аноним (35), 08-Дек-24, 07:15 
Печально, что у таких "раздалвателей" 6 млн загрузок.
Ответить | Правка | Наверх | Cообщить модератору

45. "Ошибка в обработчике GitHub Actions привела к публикации вре..."  +2 +/
Сообщение от Ееее (?), 08-Дек-24, 17:27 
Крипта сама себя не намайнит.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру