URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 123509
[ Назад ]
Исходное сообщение
"Обновление Git с устранением уязвимости, допускающей удалённое выполнение кода"
Отправлено opennews , 09-Мрт-21 22:56 
Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3, 2.27.1, 2.28.1  и 2.29.3, в которых устранена уязвимость (CVE-2021-21300), позволяющая организовать удалённое выполнение кода при клонировании репозитория злоумышленника с использованием команды "git clone". Уязвимости подвержены все выпуски Git, начиная с версии 2.15...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=54730

Содержание
Сообщения в этом обсуждении
"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Аноним , 09-Мрт-21 22:56 
> только в файловых системах, не различающих регистр символов

Вантузоиды должны страдать. Впрочем, зачем на вантузе гит - не ясно. В вантузе нужно играть в ворованный контр страйк и рисовать в крякнутом фотошопе.

"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено zzz , 09-Мрт-21 23:36 
В ядро Linux для ФС Ext4 включена поддержка работы без учёта регистра символов

https://www.opennet.dev/opennews/art.shtml?num=50581

"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Аноним , 09-Мрт-21 23:40 
Включается вручную индивидуально для каждого каталога, содержащего виндовую шнягу типа игр. Не вижу смысла включать сие безобразие для каталогов с гит-репозиториями.
"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено zzz , 09-Мрт-21 23:54 
Включающие вручную индивидуально лялегзоиды должны страдать (:
"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Аноним , 10-Мрт-21 03:38 
> Включающие вручную индивидуально лялегзоиды должны страдать (:

Они это заслужили - нехрен под винду мимикрировать!

"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено lovewindowd , 10-Мрт-21 06:38 
Значит была потребность, Linux не только для тебя делается.
"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Anonymousqwe , 09-Мрт-21 23:42 
Но баг в Git, а не в файловых системах. И так как Гит уже стандарт де-факто для SVC то приходится исправлять.
"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Аноним , 10-Мрт-21 03:44 
> Но баг в Git, а не в файловых системах. И так как
> Гит уже стандарт де-факто для SVC то приходится исправлять.

TFS'ом пользуйся, майзайц :P

"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Anonymousqwe , 10-Мрт-21 04:20 
Который в свою очередь использует гит для версионирования. Отличная рекомендация.
"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Аноним , 10-Мрт-21 00:29 
Так нтфс различает, это вроде макос не различает (у неё фс на редкость хреновая всегда была).
"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Аноним , 09-Мрт-21 23:13 
Так вроде же NTFS сама по себе регистрозависимая, а вот нелепая надстройка над ней- нет
"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено commiethebeastie , 10-Мрт-21 01:46 
Даже FAT32 регистрозависимая. Есть же фокус, создаешь под линуксом две директории с одинаковым названием и в венде обе директории открывают какую-либо одну.
"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Аноним , 10-Мрт-21 03:46 
> Так вроде же NTFS сама по себе регистрозависимая, а вот нелепая надстройка
> над ней- нет

Ну так совместимость же. С MSDOS и WIN95, трололо. Скажите спасибо что хоть не 8.3 :)

"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Аноним , 10-Мрт-21 09:48 
Формат 8.3 по сей день "основной" в FAT. LFN оформлены как отдельные записи в директории со специальным сочетанием атрибутов, некорректным для MS-DOS.
"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено commiethebeastie , 10-Мрт-21 11:43 
>> Так вроде же NTFS сама по себе регистрозависимая, а вот нелепая надстройка
>> над ней- нет
> Ну так совместимость же. С MSDOS и WIN95, трололо. Скажите спасибо что
> хоть не 8.3 :)

Причем тут короткие имена файлов? Создаешь под линуксом на FAT32 устройстве два каталога Folder и folder и кладешь туда разные файлы и о чудо, под линуксом они работают. Открываешь под вендой, видишь 2 каталога, но приводят они в один.

"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено nuclight , 10-Мрт-21 14:38 
И кто сказал, что линуксовая реализация в этом месте не нарушает стандарт?
"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Аноним , 10-Мрт-21 17:11 
а должна?
"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Аноним , 10-Мрт-21 11:25 
Насколько я помню, это сама NTFS может быть регистрозависимой или нет, в т.ч. на уровне директории.
"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Тот_Самый_Анонимус , 17-Мрт-21 08:34 
Она регистронезависимая. Регистрозависим виндовый драйвер.
"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Аноним , 09-Мрт-21 23:46 
Недавно же клонирование уже фиксили... Сколько там ещё уязвимостей осталось?
"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Annoynymous , 10-Мрт-21 00:25 
Эксплуатация уязвимости возможна только в файловых системах, не различающих регистр символов, но поддерживающих символические ссылки, таких как NTFS, HFS+ и APFS (т.е. на платформах Windows и macOS).
"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Anonymousqwe , 10-Мрт-21 00:49 
Но баг же не связан с файловой системой. А Гит пишут люди использующие Линукс
"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено hefenud , 10-Мрт-21 04:40 
А еше эти люди едят огурцы. Я думаю, что виноваты огурцы.
"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Бывалый , 10-Мрт-21 13:49 
> пишут люди

Вот где самая мякотка

"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено zzz , 10-Мрт-21 03:34 
Баг не в ФС, а в гит.
"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Аноним , 10-Мрт-21 00:39 
> Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3, 2.27.1, 2.28.1 и 2.29.3

Ставить все сразу.

"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Аноним , 10-Мрт-21 01:49 
Пора бы уже выкинуть гит на помойку и перейти на Pijul, который на расте.
"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Аноним , 10-Мрт-21 02:03 
Да за такое и Pijulей можно получить
"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Аноним , 10-Мрт-21 03:47 
> Пора бы уже выкинуть гит на помойку и перейти на Pijul, который на расте.

И как это поможет от багов в работе с ФС? Разве что доломать его до состояния чтобы он не запускался вообще :)

"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Michael Shigorin , 10-Мрт-21 09:57 
>> Пора бы уже выкинуть гит на помойку и перейти на Pijul,
>> который на расте.
> И как это поможет от багов в работе с ФС? Разве что
> доломать его до состояния чтобы он не запускался вообще :)

Ну так ему набросить надо было, а не головой думать... порой даже задумываюсь -- эти дети на растишке не специально ли пытаются ржавчину унизить?

"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено kissmyass , 10-Мрт-21 06:07 
а оно еще не померло? сайт не доступен
"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Бывалый , 10-Мрт-21 09:24 
> рекомендуется избегать клонирования непроверенных репозиториев

Да как же их проверить если клонировать нельзя!

"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Аноним , 10-Мрт-21 09:55 
Смотреть но не трогать.
"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Аноним , 10-Мрт-21 10:26 
наглядный пример того, к чему приводит использование устаревшего Си
"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено ford1813 , 10-Мрт-21 14:05 
Наглядный пример того, что некоторые кроме заголовка ничего не читают.
"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Аноним , 10-Мрт-21 13:28 
Хорошо что я пользуюсь SVN!
"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Аноним , 10-Мрт-21 15:43 
> Эксплуатация уязвимости возможна только в файловых системах, не различающих регистр символов, но поддерживающих символические ссылки, таких как NTFS, HFS+ и APFS (т.е. на платформах Windows и macOS).

А так же на ext4 при использовании новомодных опций.

"Обновление Git с устранением уязвимости, допускающей удалённ..."
Отправлено Аноним , 11-Мрт-21 07:25 
case-insensitive режим в ext4 включается выборочно для отдельных директорий. Трудно представить себе ситуацию, когда кто-то в здравом уме переключит ext4 в case-insensitive для директории с git.