Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск Git 2.35.2 с устранением уязвимостей"	+/–
Сообщение от opennews (??), 13-Апр-22, 00:16
Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 и 2.34.2, в которых устранены две уязвимости:... Подробнее: https://www.opennet.me/opennews/art.shtml?num=57013
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 13-Апр-22, 00:16	–8 +/–
Ну вот, и git уязвимый, и на perforce не перейдёшь. Остаётся только одно: $ cvs --version Concurrent Versions System (CVS) 1.11.1p1 (client/server) Copyright (c) 1989-2001 Brian Berliner, david d `zoo' zuhn,                         Jeff Polk, and other authors
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #27, #47

2. Сообщение от А где же каменты (?), 13-Апр-22, 00:33	+/–
Это опасно?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #10

3. Сообщение от Аноним (3), 13-Апр-22, 01:18	+8 +/–
А как насчет CVE-2017-12836, CVE-2012-0804, CVE-2010-3846, CVE-2005-2693, CVE-2005-0753, CVE-2004-1471, CVE-2004-1343, CVE-2004-1342, CVE-2004-0778, CVE-2004-0418, CVE-2004-0417, CVE-2004-0416, CVE-2004-0414, CVE-2004-0405, CVE-2004-0396, CVE-2004-0180, CVE-2003-0977, CVE-2003-0015, CVE-2002-0844? Или дыры в CVS не считаются, потому что это другое?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #4

4. Сообщение от А где же каменты (?), 13-Апр-22, 01:42	–2 +/–
5 лет уже как нет дыр в цвс, так что это другое
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #6, #15

5. Сообщение от Ivan_83 (ok), 13-Апр-22, 01:59	–1 +/–
Нет, тебе же по русски написали: на совместно используемых системах. У тебя на компе ещё сколько учёток заведено? Или ты с гитом работаешь на подмонтированных шарах? Правда остаётся вариант с засылкой в архиве описанного в новости и таким образом активации. Но в общем нет, это довольно специфичный авторан основанный на гите.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #28

6. Сообщение от Аноним (6), 13-Апр-22, 02:05	+12 +/–
Нет пользователей -- нет дыр, логично.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #13

7. Сообщение от Аноним (10), 13-Апр-22, 04:21	+1 +/–
> Атака осуществляется через размещение заменяющих DLL во временном каталоге, которые будут загружены при запуске uninstaller с правами SYSTEM Какая прелесть!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20

8. Сообщение от Аноним (8), 13-Апр-22, 04:59	+2 +/–
> Атакующий может создать каталог ".git" в местах, пересекающихся с другими пользователями (например, в совместно используемых каталогах или каталогах с временными файлами) и разместить в нём файл конфигурации ".git/config" с настройкой обработчиков Ясно. А уязвимость в чем? Выглядит как фича
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9

9. Сообщение от Аноним (10), 13-Апр-22, 05:35	+4 +/–
> вызов может быть совершён косвенно, например, при использовании редакторов кода Когда редактор шарится по папкам и запускает оттуда всякую чужую хрень - это как-то ненормально.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #11

10. Сообщение от Аноним (10), 13-Апр-22, 05:38	+/–
Это фича. > Атака осуществляется через размещение заменяющих DLL во временном каталоге, которые будут загружены при запуске uninstaller с правами SYSTEM
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #16

11. Сообщение от Аноним (11), 13-Апр-22, 07:05	+/–
нормально-нормально. Испокон веков ворд запускает всякую чушь из макросов, блендер запускает питоно-чушь в бленд-файлах, IDEA/vscode запускают чушь из package.json и .git. Все озвученные софтины выдают предупреждение, доверяете ли вы источнику.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #18

13. Сообщение от Аноним (13), 13-Апр-22, 08:59	+1 +/–
Как минимум бошьшинство пользователей OpenBSD
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #31, #37

14. Сообщение от Аноним (-), 13-Апр-22, 09:17	+/–
Да... такие уязвимости... одна у бакланов с вскодом и помойкой в фс, у других хрен проэксплуатируешь. Другая вообще тольк в маздае проявляется, они все-равно там привычные.
Ответить | Правка | Наверх | Cообщить модератору

15. Сообщение от Аноним (-), 13-Апр-22, 09:18	+3 +/–
Вероятно, последние 5 лет хакеры вообще дыры в CVS не искали. А какая с этого радость? Вы еще уязвимости в MSDOS предложите поискать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #17, #26

16. Сообщение от Аноним (-), 13-Апр-22, 09:20	+/–
> Это фича. Это как разведчик и шпион - делают одно и то же, но результат разный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

17. Сообщение от Анонус (?), 13-Апр-22, 09:49	–1 +/–
Учитывая, что под DOS работает всякое торговое оборудование (а возможно и некоторые банкоматы), искать в ней уязвимости не такое уж бессмысленное занятие.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #21

18. Сообщение от System Volime Speret Xml (?), 13-Апр-22, 10:03	–3 +/–
Нo да виндожвс же более бежопасен
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

20. Сообщение от git (?), 13-Апр-22, 11:28	+1 +/–
> > Атака осуществляется через размещение заменяющих DLL во временном каталоге, которые будут загружены при запуске uninstaller с правами SYSTEM > Какая прелесть! А при чем тут git? Чуть менее че любое гoвнo (включая мелкомягкое) под Windows, ведет себя аналогичным штатным для системы образом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

21. Сообщение от Аноним (21), 13-Апр-22, 11:30	+1 +/–
Зачем в MS-DOS искать уязвимости? Там всё в одном адресном пространстве. Просто бери и пиши по любому адресу в область DOS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #29, #53

24. Сообщение от Аноним (24), 13-Апр-22, 11:57	+/–
никогда не было и вот, опять!
Ответить | Правка | Наверх | Cообщить модератору

26. Сообщение от хакер (?), 13-Апр-22, 12:03	+/–
Вообще-то у нас для этого были предыдущие 25. Но нашли пару весьма так себе. А радости с этого тебе никакой, кнутователь велит пользоваться git, как все, и ни в коем случае не интересоваться, является ли эта технология хотя бы в части случаев лучшей чем cvs.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #33, #36

27. Сообщение от хакер (?), 13-Апр-22, 12:05	+/–
> Ну вот, и git уязвимый, и на perforce не перейдёшь. Чемодан, вокзал, Ереван. Переходи. На те $10k которые тебе разрешат увезти в чемодане, примерно пол-года сможешь наслаждаться нормальным инструментом (аренда квартирки в Ереване нынче недешева, перфорса по сравнению с этим - копейки будет стоить)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #38

28. Сообщение от хакер (?), 13-Апр-22, 12:06	–1 +/–
Э... блжад, стесняюсь спросить - у тебя разработчики не имеют доступа ни к какой shared системе? Или на твоем локалхосте только один разработчик, ты? А то у меня на компе одна учетка, но я и моя тульпа не занимаемся "разработкой" на нем. Только смотрим прон.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #35, #42

29. Сообщение от Аноним (-), 13-Апр-22, 12:13	+/–
> Зачем в MS-DOS искать уязвимости? Там всё в одном адресном пространстве. Просто > бери и пиши по любому адресу в область DOS. Ну так по сети/коммуникационным интерфейсам доступ сразу к адресам наверное все же не дают. Если дают - странные люди, тогда это уже бэкдор скорее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

31. Сообщение от Аноним (-), 13-Апр-22, 12:19	+/–
> Как минимум бошьшинство пользователей OpenBSD И чего с ними делать? Ну вот нашел ты это, допустим. И дальше радость с этого чего? Написыть этим мышкам в норку? Им и без тебя это делают. Достаточно успешно иногда. Профита с этого будет ноль, у этих голодранцев врядли есть баунти программа тем более покрывающая CVS, корпам CVS тоже не интересен, а найти системы для атаки - проще белого медведя в Сахаре встретить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

33. Сообщение от Аноним (-), 13-Апр-22, 14:38	+/–
Git лучше с управлением версиями справляется - переключая версии быстро и без перекачки половины проекта, для крупных проектов актуально. Да и сервер ему не требуется а локальный реп полноценен, в отличие от. Для своих мелких проектов так тоже намного удобнее чем сервак для cvs делать. А кнутователь в этом случае разве что сама жизнь, эффективные инструменты ее облегчают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #39

35. Сообщение от Аноним (-), 13-Апр-22, 14:41	–1 +/–
Не очень понятно зачем VCS и ее внутренности на shared выкладывать. А через vcs взаимодействовать не пробовали вместо файлшар? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

36. Сообщение от Аноним (36), 13-Апр-22, 16:31	+/–
Не является. Ни по каким объективным парамерам. Где-то, как-то, в легаси-нише, где окопались 3½ бородатых анона — возможно. Эдакая киста в теле современного IT. Дальше давай рассказывай, если есть что.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

37. Сообщение от anonymous (??), 13-Апр-22, 17:16	+1 +/–
В openbsd сделали opencvs как раз из-за подобных уязвимостей
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

38. Сообщение от Аноним (38), 13-Апр-22, 19:17	–2 +/–
Ну вообще-то те, кто съехать хотели - те давно уже кто в Париже, кто в Неймегене, кто в Женеве, кто в Гамильтоне, а кто вообще в Рэдмонде. И никаких сваливших в Армению и Грузию среди них почему-то не наблюдаю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #40

39. Сообщение от кнутователь (?), 13-Апр-22, 19:24	+/–
Вообще-то ты путаешься в показаниях. Обычно за это кнутуют сильнее - есть чего скрывать. Для крупных проектов обычно неактуально "быстропереключатьверсии". Для них актуально не хранить "полноценный" локальный реп который на самом деле нафиг не упал разработчику. (Возблагодари же MS за предоставленное счастье lfs! И shallow tree, конечно.) Или три-пять если на самом деле ты работаешь одновременно в нескольких ветках (ты точно-точно настолько разносторонне одарен?) и не хочешь чистить все дерево и три часа ждать пересборки ради однострочного мержа из одной в другую. Для своих мелких проектов чуть выходящих за рамки локалхоста тоже неудобен - именно потому что "сервак для cvs" встроенный, имеет собственную хоть и примитивную авторизацию, и его несложно дополнительно изолировать, а с гитом то ли ssh высовывать наружу, то ли городить поделки а-ля гитеа и подпирать костылями, то и другое для мелкого проекта оверкил. > А кнутователь в этом случае разве что сама жизнь, эффективные инструменты ее облегчают. Облегчают. Но за попытку их применения в реальном проекте я тебя окнутую (ничего личного, я человек служебный). Поэтому будешь пользоваться git, как велели. Насколько я понимаю, примерно так у тебя дела и обстоят - ты вот даже не знаешь что cvs прекрасно работает без всякого выделенного сервера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #45

40. Сообщение от Аноним (40), 13-Апр-22, 19:33	–1 +/–
Ты путаешь "хотели" с "сумели". Не всех ждут с распростертыми объятьями в Париже и Женеве. А в Рэдмонд они могут и не особенно хотеть. Тем более что там уже половина Индии толкается локтями, и это у них получается получше многих. Не все кто хотят при этом готовы и могут себе позволить все бросить и начинать с низов, и не все настолько ценны чтобы им сразу предоставили шоколадные условия. А в Армении теперь пол-яндекса (рабов мэйлрушечки кажется не отпустили, там цепь более короткая) - поскольку это миграция без миграции. Рабочее место остается тем же (пока там есть чем платить, конечно), а дышать чуть полегче и виза работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #44

41. Сообщение от Аноним (-), 13-Апр-22, 20:02	+/–
По поводу этих уязвимостей. Разбудите Линуса!
Ответить | Правка | Наверх | Cообщить модератору

42. Сообщение от Ivan_83 (ok), 14-Апр-22, 05:03	+/–
Они на шаред системах не работают с гитом. И в целом им там нечего особо делать, всю работу они работают у себя локально: - открыл тикет браузером - всосал гитом изменения, завёл бранч, пофиксил, запушил - отписал в тикет через браузер На файлопомойках только образы валяются, игрухи и киношки с музоном, работать там с гитом так себе идея в виду высокого латенсити как минимум, да и смысла в этом нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #43

43. Сообщение от пох. (?), 14-Апр-22, 10:49	+/–
> И в целом им там нечего особо делать, всю работу они работают у себя локально: ни тестирования, ни отладки - запушил, пописал в тикет, следующий. Удобно, да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

44. Сообщение от Аноним (36), 14-Апр-22, 16:11	+1 +/–
> Не всех ждут с распростертыми объятьями в Париже и Женеве. По собственному опыту иммиграции скажу: никого нигде не ждут. Приезжаешь, устраиваешь быт, зарабатываешь деньги. Лет через пять выходишь на тот уровень, с которого сорвался, через ещё пять недоумеваешь как можно было жить в той дыре, из которой уехал. Через ещё пять шлёшь пенсию престарелым родителям размером со среднюю зарплату по городу. Дальше пока не знаю, не дожил ещё.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #48, #50

45. Сообщение от Аноним (-), 14-Апр-22, 17:46	+/–
> Вообще-то ты путаешься в показаниях. Обычно за это кнутуют сильнее - есть чего скрывать. В гите что-то скрывать не очень удобно и логично, это вы гоните. > Для крупных проектов обычно неактуально "быстропереключатьверсии". Пока не попробуешь разок загасить баг черт знает где используя git bisect. А потом на меньшее уже как-то и не хочется соглашаться. Да, при этом скорость разворачивания большого проекта может уже начать интересовать. И если оно там полпроекта качает медленно и печально - значит я буду туповэйтить машину дольше. > Для них актуально не хранить "полноценный" локальный реп который на самом деле нафиг не упал разработчику. Ну я вон храню Linux Kernel. Нормальный проектец. Без git с таким проектом было бы нечего ловить. А LFS и проч актуальны каким-нибудь игроделам, и то не всем из них. > три часа ждать пересборки ради однострочного мержа из одной в другую. С однострочным мержем обычно пересборка будет только того что изменилось и того что от него зависит. > Облегчают. Но за попытку их применения в реальном проекте я тебя окнутую Мы с тобой никогда не будем в одной команде - я не имею дел с командами где отстадые тулсы. Так что мечтать не вредно. > ты вот даже не знаешь что cvs прекрасно работает без всякого выделенного сервера. Понятия о прекрасном у всех разные. Гит симметричен и ему все-равно локально оно или ремотно, полная функциональность доступна всегда. Без всяких если. Это удобно. Можно всегда работать с проектами как обычно. А если интернета нет - ну и фиг с ним, когда будет выложу куданить на "точку обмена". Современные люди работают как-то так. А вы можете хоть к веслу приковаться, я этого делать не собираюсь. И гит я для своих проектов выбрал сам - как ниаболее удобную и фичастую штуку. Никто мне это не велел. А CVS я забыл как страшный сон, много лет назад. Мне нравится симметричный p2p-стиль разработки, без нездоровой централизации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

46. Сообщение от Vacu923ek (ok), 15-Апр-22, 13:22	+/–
Git - это сама по себе уязвимость. Уязвлённое чувство самолюбия Трольвадса :) Как же так - у других есть адекватный DVCS, а у меня нет! Вот и склепал чудище....
Ответить | Правка | Наверх | Cообщить модератору

47. Сообщение от Vacu923ek (ok), 15-Апр-22, 13:24	+/–
Вот и выросла школота, не понимающая ценности Mercurial!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

48. Сообщение от Vacu923ek (ok), 15-Апр-22, 13:31	+/–
"Там не ждут" имеется ввиду не буквально стоят на вокзале с оркестром, а в том смысле, что обустраиваться сложнее. В России если ты хочешь найти работу - приходишь, на русском языке с русской же HR общаешься, у вас общая культура и понимание. Тебя "ждут" на очередную галеру. За бугром сразу же видят "Джамшута" и с очень большим скепсисом пытаются понять, сколько проблем они огребут, взяв "чужестранца" на работу. Я сам имиграцию прошёл (ЮАР) и прямо скажу, первое время съехал в такой дауншифтинг, что готов был воровать хлеб. Но попались добрые люди, приютили, потом и работа (ЧУДОМ!) нашлась. А вот уже с работой - да, всё пошло как на мази. И да, я тоже 100% за иммиграцию - незачем гробить жизнь на скрепы, когда можно жить как человек.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #49

49. Сообщение от Тот Самый (?), 15-Апр-22, 21:54	+/–
>незачем гробить жизнь на скрепы, когда можно жить как человек. Логичное продолжение фразы - "жить как человек без скреп" Мы это уже проходили. "Иван не помнящий родства" — крылатое выражение, фразеологизм, обозначающий человека без убеждений и традиций. История этого выражения начинается в царской России, когда пойманные беглые каторжники и крепостные крестьяне, пытаясь скрыть своё прошлое и имя, ссылались при задержании на то, что не помнят своего имени и родства. В полицейских участках их записывали как «Иван, не помнящий родства» (юридический термин того времени). (источник Википедия)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #51

50. Сообщение от Тот Самый (?), 15-Апр-22, 22:24	+/–
>недоумеваешь как можно было жить в той дыре, из которой уехал Я думаю здесь будет уместно привести старый анекдот. Беседуют два червячка, папа и сын. Сын: Папа, а правда, что кто-то живет в яблоке, где вкусно и тепло? Папа: Правда. Сын: Папа, а правда, что кто-то живет в груше, где еще вкуснее? Папа: Правда. Сын: Папа, а почему мы живем в навозной куче? Папа: Понимаешь, сынок, есть такое понятие - Родина! Кто-то выбирает свалить любым способом туда, где вкусно и тепло.А кто-то остается в навозной куче и пытается своей работой хоть что-нибудь исправить. И не надо строить иллюзий: кроме нас никто (западные "друзья и партнеры") эту кучу исправлять не будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

51. Сообщение от Vacu923ek (ok), 16-Апр-22, 00:58	+/–
>>незачем гробить жизнь на скрепы, когда можно жить как человек. > Логичное продолжение фразы - "жить как человек без скреп" Ты сказать-то что хотел? Мне уроки истории нахрен не нужны, ты свою мысль выдай.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #52

52. Сообщение от Тот Самый (?), 16-Апр-22, 04:15	+/–
>Мне уроки истории нахрен не нужны К огромному сожалению, много сейчас вот таких, которых история ни чему не учит, потому что "нахрен не нужна". А есть очень важные уроки истории: - в 1945 нынешние поборники "гуманизма" за два дня в Хиросиме и Нагасаки уничтожили разом 200 тыс. человек мирного населения - в 60-х годах они-же поливали напалмом деревни во Вьетнаме - в 1999 они-же громили ракетами жилые кварталы Белграда - в 2003 они-же бомбили Багдад по 1000 самолето-вылетов в день. В результате в 2019 году Багдад был признан худшим в мире городом для жизни. Столица Ирака оказалась на последнем 231-м месте сразу после Банги (ЦАР) Я помню все это (история для меня имеет значение) и я выбираю остаться в своей стране и работать на ее благо и укрепление (не хочу как в Хиросиме или Багдаде). >ты свою мысль выдай Тебе, и таким-же как ты, искренне желаю свалить отсюда по-быстрее и по-удачнее. Так будет лучше для всех.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

53. Сообщение от Аноним (53), 03-Июн-22, 17:39	+/–
В смысле ПО запускается не в виртуальной памяти? То есть процессор не в защищенном режиме?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема