URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 114442
[ Назад ]

Исходное сообщение
"Обновление Git с устранением уязвимостей"
Отправлено opennews , 29-Май-18 23:51

Представлены (https://lkml.org/lkml/2018/5/29/889) корректирующие выпуски всех поддерживаемых веток системы управления исходными текстами Git (2.17.1, 2.13.7, 2.14.4, 2.15.2, 2.16.4), в которых устранены две уязвимости:
- CVE-2018-11235 (https://security-tracker.debian.org/tracker/CVE-2018-11235) - возможность выхода за границы базового каталога репозитория через использование символов "../" в имени пути к субмодулю, определённому в файле ".gitmodules". При обращении пользователя к контролируемому злоумышленником репозиторию, возможна организация атаки по созданию/переписи файла в ФС с правами текущего пользователя, которая может быть доведена до запуска кода на сервере (например, через подстановку скрипта post-checkout в файл .git/config);
- CVE-2018-11233 (https://security-tracker.debian.org/tracker/CVE-2018-11233) - чтение случайных частей памяти процесса git через создание в файловой системе NTFS специально оформленных путей.

Дополнительно в новых выпусках добавлена возможность блокирования на стороне сервера push-операций с попыткой создания файла .gitmodules в качестве превентивной меры защиты от добавления вредоносного контента в репозиторий. Режим блокировки включается наряду с другими мерами усиления заищиты при наличии параметра receive.fsckObjects в настройках на стороне сервера. Например, ранее подобным образом уже было запрещено создание каталога ".GIT" с изменением регистра символов.
URL: https://lkml.org/lkml/2018/5/29/889
Новость: https://www.opennet.dev/opennews/art.shtml?num=48680

Содержание

Обновление Git с устранением уязвимостей,Андрей, 23:51 , 29-Май-18
- Обновление Git с устранением уязвимостей,Аноним, 00:47 , 30-Май-18
  - Обновление Git с устранением уязвимостей,Андрей, 08:59 , 30-Май-18
    - Обновление Git с устранением уязвимостей,Аноним, 09:11 , 30-Май-18
      - Обновление Git с устранением уязвимостей,Аноним, 23:54 , 01-Июн-18
  - Обновление Git с устранением уязвимостей,Аноним, 12:33 , 30-Май-18
    - Обновление Git с устранением уязвимостей,Andrey Mitrofanov, 13:31 , 30-Май-18
      - Обновление Git с устранением уязвимостей,Аноним, 14:24 , 30-Май-18
        
        Обновление Git с устранением уязвимостей,Andrey Mitrofanov, 14:36 , 30-Май-18
        
        Обновление Git с устранением уязвимостей,Аноним, 14:46 , 30-Май-18
        
        Обновление Git с устранением уязвимостей,Andrey Mitrofanov, 14:53 , 30-Май-18
        
        Обновление Git с устранением уязвимостей,Аноним, 14:57 , 30-Май-18
        
        Обновление Git с устранением уязвимостей,Andrey Mitrofanov, 15:01 , 30-Май-18
        
        Обновление Git с устранением уязвимостей,Andrey Mitrofanov, 14:39 , 30-Май-18
        
        Обновление Git с устранением уязвимостей,Аноним, 14:54 , 30-Май-18
        
        Обновление Git с устранением уязвимостей,Ydro, 18:20 , 30-Май-18
        
        Обновление Git с устранением уязвимостей,Andrey Mitrofanov, 18:37 , 30-Май-18
        
        Обновление Git с устранением уязвимостей,Аноним, 19:19 , 30-Май-18
        
        Обновление Git с устранением уязвимостей,Andrey Mitrofanov, 19:39 , 30-Май-18
- Обновление Git с устранением уязвимостей,Andrey Mitrofanov, 13:30 , 30-Май-18
  - Обновление Git с устранением уязвимостей,Андрей, 01:08 , 31-Май-18
    - Обновление Git с устранением уязвимостей,anonymous, 08:52 , 31-Май-18
    - Обновление Git с устранением уязвимостей,Andrey Mitrofanov, 09:41 , 31-Май-18
      - Обновление Git с устранением уязвимостей,Андрей, 16:16 , 31-Май-18
      - Обновление Git с устранением уязвимостей,Андрей, 16:48 , 31-Май-18
        
        Обновление Git с устранением уязвимостей,Andrey Mitrofanov, 18:11 , 31-Май-18
        
        Обновление Git с устранением уязвимостей,Андрей, 00:17 , 03-Июн-18

Сообщения в этом обсуждении

"Обновление Git с устранением уязвимостей"
Отправлено Андрей , 29-Май-18 23:51

> всех поддерживаемых веток системы управления исходными текстами Git (2.17.1, 2.13.7, 2.14.4, 2.15.2, 2.16.4)
$ gitk origin/ [tab-tab]
origin/HEAD origin/maint origin/master origin/next origin/pu origin/todo
Где они?

"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 30-Май-18 00:47

Очевидно, в виде тэгов, которые ты не осилил.

"Обновление Git с устранением уязвимостей"
Отправлено Андрей , 30-Май-18 08:59

Причём тут тэги? Как можно какой-то код поддерживать, если его нет в соответствующей ветке?

"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 30-Май-18 09:11

При том, что тег это легкая ветка, RTFM

"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 01-Июн-18 23:54

Нет в гите легких и тяжелых веток!
Ветка - это файл в директории .git/refs/heads/ размером 41 байт.
в этом файле хеш коммита.
Тег - это файл в директории .git/refs/tags/ тоже размером 41 байт.
Если это подписанный или аннотированный тег, то создаётся объект в .git/objects/, этот объект указывате на коммит, и в файле (в .git/refs/tags/) хеш этого объекта.
Так что ветка никак не может быть "легче" тега.
Либо одинаково, либо тег это ещё и дополнительный объект.

"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 30-Май-18 12:33

А чем тег легче ветки? Тем, что его надо вручную двигать?

"Обновление Git с устранением уязвимостей"
Отправлено Andrey Mitrofanov , 30-Май-18 13:31

> А чем тег легче ветки? Тем, что его надо вручную двигать?
Децкий сааад! Тем, что его _не_ надо двигать.

"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 30-Май-18 14:24

Дяденька взрослый, объясните тогда несмышлёнышу, если тег не двигать, как же он будет выполнять функции лёгкой ветки? Ведь в ветку же можно добавлять коммиты, это ведь её отличие от тега?

"Обновление Git с устранением уязвимостей"
Отправлено Andrey Mitrofanov , 30-Май-18 14:36

> Дяденька взрослый, объясните тогда несмышлёнышу, если тег не двигать, как же он
> будет выполнять функции лёгкой ветки?
Про ветки я не говорил. Я говорил, что таг двигать _не_ надо. Какое слово не понятно-то?
>Ведь в ветку же можно добавлять
> коммиты, это ведь её отличие от тега?
А в "легковесную", видимо, нельзя. Она такая -- легковесная. Наверное!
Но ты мне в этом не верь -- переспроси у того доброхота, который это простое, "понятное" и совершенно бесполезное объяснение/объярлычивание придумал и вытащил тебе на потеху.

"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 30-Май-18 14:46

> переспроси у того доброхота, который это простое, "понятное" и совершенно бесполезное объяснение/объярлычивание придумал и вытащил тебе на потеху
Так я и хотел, чтобы тот доброхот объяснил, что он в виду имел. Жаль, веткой ошибся, отвечая ему. А тут ещё ты не в тему влез со своим снобизмом, окончательно порушив всю потеху.

"Обновление Git с устранением уязвимостей"
Отправлено Andrey Mitrofanov , 30-Май-18 14:53

>А тут ещё ты не
> в тему влез со своим снобизмом, окончательно порушив всю потеху.
Ну, и славно. Я победил двух анОнимов-засерь. #успех

"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 30-Май-18 14:57

Разблокировано достижение "В каждой бочке затычка".

"Обновление Git с устранением уязвимостей"
Отправлено Andrey Mitrofanov , 30-Май-18 15:01

> Разблокировано достижение "В каждой бочке затычка".
Достижение сомнительное. Но, поздравляю, чо, за неимением лучшего.

"Обновление Git с устранением уязвимостей"
Отправлено Andrey Mitrofanov , 30-Май-18 14:39

##>>Децкий сааад!
> Дяденька взрослый, объясните тогда
Только, когда читать научишься.
Это сложно -- нужно тренероваться. Не путать свои выдумки с прочитанным.
>несмышлёнышу, если тег не двигать, как же он
> коммиты, это ведь её отличие от тега?

"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 30-Май-18 14:54

> когда читать научишься.
> нужно тренероваться
> тренEроваться
Писать правильно научитесь, дяденька, потом поучайте. Паучат. :)

"Обновление Git с устранением уязвимостей"
Отправлено Ydro , 30-Май-18 18:20

"Бабий аргумент" это перевод спора в другую плоскость. Причём, по женской (она же общечеловеческая)
логике победа в этой плоскости будет означать победу в основном споре.

"Обновление Git с устранением уязвимостей"
Отправлено Andrey Mitrofanov , 30-Май-18 18:37

> "Бабий аргумент"
>по женской (она же общечеловеческая)
Строение половых органов и/или секс.-идентификация совершенно не при чём.
Ему нечем было ответить на указание на ошибки в аргументации, он использовал ad hominem/на личности  --  таки, да, снова/другую логическую ошибку, ошибку аргументации.
Впочем, Вы также вместо аргументации обозвали его земляны ^W чем-то неприятным лично для Вас.  Не аргУмент точно так же. Другой разве что...
>  логике победа в этой плоскости будет означать победу в основном споре.

"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 30-Май-18 19:19

А "читать научись" и "нужно тренероваться" - это что ли аргументация? Или всё-так переход на личности? Получается, записной тролль Митрофанов сам первый перешёл на личности. И сей недостойный поступок ещё и "украсил" орфографической ошибкой.

"Обновление Git с устранением уязвимостей"
Отправлено Andrey Mitrofanov , 30-Май-18 19:39

> А "читать научись" и "нужно тренероваться" - это что ли аргументация? Или
Это тонкий, почти незаметный и истончённый!, намёк на то, что там написано не то, что показалось-придумалось.
> всё-так переход на личности? Получается, записной тролль Митрофанов сам первый перешёл
Да, намёки оскорбительны и дб запрещены Праилами.
> на личности. И сей недостойный поступок ещё и "украсил" орфографической ошибкой.
Ну, безграмотный пейзанин и нерусь, дальше то что?
Дальше вывод, что выводы, высосанные из пальцА -- можно и хорпошо.
Консенсус. Расходимся.

"Обновление Git с устранением уязвимостей"
Отправлено Andrey Mitrofanov , 30-Май-18 13:30

>> всех поддерживаемых веток системы управления исходными текстами Git (2.17.1, 2.13.7, 2.14.4, 2.15.2, 2.16.4)
> $ gitk origin/ [tab-tab]
> origin/HEAD     origin/maint    origin/master
> origin/next     origin/pu
>  origin/todo
> Где они?
Брысь!
git branch --contains v2.17.1
git describe --tags maint
git log --decorate -1 v2.17.1

"Обновление Git с устранением уязвимостей"
Отправлено Андрей , 31-Май-18 01:08

>> Где они?
> Брысь!
Тэги - брысь?
$ git branch --contains v2.13.7
* master
$ git branch --contains v2.14.4
* master
$ git branch --contains v2.15.2
* master
$ git branch --contains v2.16.4
* master
$ git branch --contains v2.17.1
* master
Всё то, что ожидаешь в maint находится в... master!?
$ git describe --tags maint
fatal: Not a valid object name maint
$ git describe --tags origin/maint
v2.17.1
О, 2.17.1 и в maint есть. Так в master или maint?
$ git log --decorate -1 v2.17.1
commit fc54c1af3ec09bab8b8ea09768c2da4069b7f53e (tag: v2.17.1, origin/maint)
Author: Junio C Hamano <gitster@pobox.com>
Date:   Tue May 22 14:28:26 2018 +0900
    Git 2.17.1

    Signed-off-by: Junio C Hamano <gitster@pobox.com>

"Обновление Git с устранением уязвимостей"
Отправлено anonymous , 31-Май-18 08:52

> О, 2.17.1 и в maint есть. Так в master или maint?
Прикинь, один и тот же коммит может быть в нескольких ветках. Убивают, караул.

"Обновление Git с устранением уязвимостей"
Отправлено Andrey Mitrofanov , 31-Май-18 09:41

>>> Где они?
>> Брысь!
> $ git branch --contains v2.17.1
> * master
git branch -a --contains v2.17.1
> Всё то, что ожидаешь в maint находится в... master!?
Подрастёшь...
>Так в master или maint?
...узнаешь.
> $ git log --decorate -1 v2.17.1
> commit fc54c1af3ec09bab8b8ea09768c2da4069b7f53e (tag: v2.17.1, origin/maint)

"Обновление Git с устранением уязвимостей"
Отправлено Андрей , 31-Май-18 16:16

Я знаю, что если мне надо посмотреть комиты стабильной или oldstable ветки какого ПО, то я делаю gtik origin/gtk-3-22, origin/gtk-3-20. KISS.
А как мне в gitk увидеть историю комитов 2.13.0 .. 2.13.7 уже не очевидно.

"Обновление Git с устранением уязвимостей"
Отправлено Андрей , 31-Май-18 16:48

https://git-scm.com/docs/gitworkflows#_maintenance_branch_ma...
>After a feature release, you need to manage your maintenance branches.
>
>First, if you wish to continue to release maintenance fixes for the feature release made before the recent one, then you must create another branch to track commits for that previous release.
>
>To do this, the current maintenance branch is copied to another branch named with the previous release version number (e.g. maint-X.Y.(Z-1) where X.Y.Z is the current release).
Чётко: хотите сопровождать старые релизы: создавайте соответствующие ветки.
Почему же сами разработчики git используют какую-то другую технику, и где она описана?
Documentation/howto/maintain-git.txt:
- 'maint' branch is used to prepare for the next maintenance
   release.  After the feature release vX.Y.0 is made, the tip
   of 'maint' branch is set to that release, and bugfixes will
   accumulate on the branch, and at some point, the tip of the
   branch is tagged with vX.Y.1, vX.Y.2, and so on.
Сведений о том, как поддерживать более чем одну серию maint-релизов я там не нашёл.

"Обновление Git с устранением уязвимостей"
Отправлено Andrey Mitrofanov , 31-Май-18 18:11

> Чётко: хотите сопровождать старые релизы: создавайте соответствующие ветки.
> Почему же сами разработчики git используют какую-то другую технику, и где она
> описана?
Очевидно же, что они, "разработчики", совсем не хотят "сопровождать".
Пусть кто-нибудь-другой.(ц)Гомер
Они, как Торрвальдс[I]!

"Обновление Git с устранением уязвимостей"
Отправлено Андрей , 03-Июн-18 00:17

Не только мне надо подрасти. И у тебя познания быстро закончились. Ну, ничего, подрастёшь, когда-нибудь узнаешь.