В Git выявлена критическая уязвимость (CVE-2021-29468), проявляющаяся только при сборке для окружения Cygwin (библиотека для эмуляции базового Linux API в Windows и набор типовых linux-программ для Windows). Уявзимость позволяет выполнить код злоумышленника при извлечении данных ("git checkout") из репозитория, подконтрольного атакующему. Проблема устранена в пакете git 2.31.1-2 для Cygwin. В основном проекте Git проблема пока не исправлена (маловероятно, что кто-то своими руками собирает git для Cygwin, а не использует готовый пакет)...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55027

• Уязвимость в Git для Cygwin, позволяющая организовать выполн...,VINRARUS, 11:16 , 25-Апр-21
• Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Аноним, 11:20 , 25-Апр-21
  • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,proninyaroslav, 11:22 , 25-Апр-21
    • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Аноним, 11:24 , 25-Апр-21
    • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Аноним, 12:39 , 25-Апр-21
      • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Аноним, 08:44 , 26-Апр-21
        • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Аноним, 11:55 , 26-Апр-21
          • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,1, 00:34 , 27-Апр-21
            • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,A, 21:41 , 28-Апр-21
  • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Аноним, 11:27 , 25-Апр-21
    • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,IRASoldier_registered, 11:35 , 25-Апр-21
      • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Аноним, 13:07 , 25-Апр-21
  • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,лолшто, 11:45 , 25-Апр-21
    • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Аноним, 11:49 , 25-Апр-21
      • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Dzen Python, 13:20 , 25-Апр-21
        • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Аноним, 21:16 , 25-Апр-21
    • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Аноним, 14:16 , 26-Апр-21
      • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Albertio, 20:28 , 26-Апр-21
• Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Аноним, 11:50 , 25-Апр-21
  • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Аноним, 20:20 , 25-Апр-21
    • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Аноним, 21:17 , 25-Апр-21
      • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Аноним, 11:30 , 26-Апр-21
• Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Аноним, 12:21 , 25-Апр-21
  • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,PHPoenX, 13:49 , 25-Апр-21
  • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Онаним, 23:52 , 25-Апр-21
• Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Аноним, 12:23 , 25-Апр-21
  • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Аноним, 12:45 , 25-Апр-21
  • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Аноним, 12:57 , 25-Апр-21
    • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Ordu, 16:31 , 25-Апр-21
      • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Аноним, 19:09 , 25-Апр-21
        • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Ordu, 19:34 , 25-Апр-21
          • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,i, 23:41 , 25-Апр-21
            • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Ordu, 00:42 , 26-Апр-21
        • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,пох., 12:22 , 26-Апр-21
      • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Аноним, 10:11 , 26-Апр-21
        • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,пох., 12:25 , 26-Апр-21
    • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Аноним, 16:54 , 25-Апр-21
      • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,turbo2001, 20:06 , 25-Апр-21
• Уязвимость в Git для Cygwin, позволяющая организовать выполн...,пох., 12:40 , 25-Апр-21
  • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Вертел мастдайку на кожаной оси, 13:58 , 25-Апр-21
• Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Аноним, 12:48 , 25-Апр-21
• Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Аноним, 13:15 , 25-Апр-21
• Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Аноним, 15:07 , 25-Апр-21
  • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,муу, 04:50 , 26-Апр-21
• Уязвимость в Git для Cygwin, позволяющая организовать выполн...,YetAnotherOnanym, 16:43 , 25-Апр-21
• Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Аноним, 17:52 , 26-Апр-21
  • Уязвимость в Git для Cygwin, позволяющая организовать выполн...,Wilem82, 03:04 , 27-Апр-21

Фу.

Спрашивается, зачем использовать cygwin, если есть православный GNU/Linux?

Зачем использовать cygwin, если есть православный WSL

Раньше использовал для разработки, но сейчас перешёл на винду в VMWare. Перезагружаться уже не нужно, а в последней версии допилили графику до вменяемого состояния, DirectX 11 в виртуалке работает на ура.

WSL уже закопали. Сейчас WSL2, а оно есть виртуалка, в которой запускается почти GNU/Linux.

Зачем нужен WSL2, если VirtualBox я могу и сам запустить?

A virtualBox также быстро будет стартовать? также хорошо будет интегрирован с системой (шереные папки, сеть, динамич выделение памяти) без доп. настроек?

Конечно, это все давно есть

Тока плохо работает у обоих.

Cygwin нужен чтобы получить юзабельное GNU/Windows окружение. Т.е. ConEmu+Msys2.

Ну что ты, как же ж так же ж, это ж Виндой пользоваться! Это ж позор страшный!

> Ну что ты, как же ж так же ж, это ж Виндой пользоваться! Это ж позор страшный!

Причем, с сугубо местным, "понятийным" определением "пользования" - ну там, как обычно, считаются только "пассивы" или "забутявил винду в день пару раз - все еще не виндораз!".

Какое весло вручили, с тем и гребешь...

Знаешь, вращал я такие шараги на своём журнале.

Ты главное цепь, к пулемету идущую, поправь, чтобы не звенела, бунар-р-р-ь.
Потому, что как раз именно в шарагах админы не следят за лицензионностью установленного ПО на машинах (не важно, винда там или лянекс), а потом скачут на задней лапке перед заряженным ОБЭП. И подношения несут. Так что тут действительно, или работаешь на лицензионном "жричодали", или обосновываешь закупку себе отдельной лицензии на линукс (или мак в сборе, опечатанный) с наклеечкой и договором.

Всё синтезированное тобою - слишком дикий бред. Как-то стрёмно у вас в совке живётся. А по поводу - "чё дали" - у меня есть свои предпочтения, и я сам знаю какой дистрибутив линукса мне лучше накатить.

Здесь например, даже в тех шарагах, где "жричедали" - после ухода нескольких поколений разрабов уже начинают задумываться о стандартизации бубунточки. Так чтобы не "по запросу", а сразу человек мог выбрать.

>Какое весло вручили, с тем и гребешь...

А если ложку дали?

Проверь, есть ли в ней дырка

> Уязвимость в Git для Cygwin

Пусть этот цинвин поначалу хоть в вайне запустится!

Cygwin в WINE? Мсье знает толк...

А почему бы и нет? Доказательство сквозной работоспособности.

Задачи "обеспечить сквозную работоспособность" никогда не стояло ни у цигвина, ни у вайна, так что претензии по этому поводу можете отправлять прямо в Спортлото.

-#ifdef GIT_WINDOWS_NATIVE
+#if defined GIT_WINDOWS_NATIVE || defined __CYGWIN__
                if (c == '\\')
                    return 0;
#endif

Проблема решена, расходимся.
Зачем вообще в Cygwin такие пути файлов?

Это не "пути cygwin", а пути замечательной ntfs, где всё через пятую точку

Хрен она решена. Там помимо гита наверняка 100500 таких же граблей разложено.
Есть мысль, что единственное решение - из цигвина поддержку \ в путях выпилить.

>> что приводит к отсутствию ограничений на использование символа '\' в пути

Линуксойды до сих пор считают себя единственной расой во вселенной? :D

Но у соседних расс: всеBSD, MacOS, '\' тоже означает экранирование следующего символа.

а нехрен было создателям вантуза выпендриваться и юзать какие-то бэкслеши в качестве разделителя. Я б на месте мейнтейнеров вообще забил бы на проблему — вантузоидам не привыкать торчать голой опой во все шесть сторон одновременно.

> а нехрен было создателям вантуза выпендриваться и юзать какие-то бэкслеши в качестве разделителя.

Они не выпендривались, они обратную совместимость тянули. Они строили венду как расширитель доса, а в досе, когда речь зашла о добавлении иерархии в фс, слеши вызывали необходимость ломать обратную совместимость:
https://web.archive.org/web/20100612035120/http://blogs.msdn...

Это довольно забавно -- те программы, которые использовали слеши, чтобы выделить ключи, использовали слеш, и из-за которых решили использовать \ разделителем пути в досе, давно не существуют, а обратная совместимость с ними до сих пор.

Тогда в 1983-м, когда MS-DOS 2.0 вышла, могли бы смело в досовых утилитках поменять префикс для ключей на '-'. Всё равно, утилиnки шли с конкретной версией DOS.

Могли бы, но что возьмёшь со старпёров, которые в дополнение к синдрому утёнка ещё и заботятся о том, чтобы существующие скрипты не сломались.

хаха, тоже мне мальчик молодой

Старпёр -- это не возраст, это состояние ума.

это только у вас, лап4...х так принято - взять и всем все сломать, ради всеобщего щастья (а на деле банальной лени разработчиков думать - что мы и получили с cygwin - ну кто бы мог подумать и было бы ему, чем, что у другой системы могут быть какие-то другие пути?)

Именно по этой причине вы в гуане по шею и там и останетесь.

ключи ставятся после названия проги: program.exe /?

да, дос-вантуз позволяет пришпандоривать ключи непосредственно к названию экзешника, без пробела: program.exe/p/i/z/d/e/t/s

ну так следовало просто требовать между ключами и названием проги ставить пробел, тогда команды бы интерпретировались однозначно: c:/hello.exe /?. Но нет, вантузоиды пошли своим особым "обратно-совместимым" путем (хоть и не совместимым со всем остальным миром, да глянь хотя бы на URL, там тоже нормальные слэши вместо вантузных)

> ну так следовало просто требовать между ключами и названием проги ставить пробел,

кому следовало, зачем это следовало?

Команды и так интерпретируются однозначно - интерпретатор не позволит подсунуть слэж как часть имени. Проблемы рукожопиков с ластами вместо рук - это их проблемы.

> хоть и не совместимым со всем остальным миром

каким еще "остальным миром" - вашим еще не родившимся л@тым гуаном?

C rt11 да, получилось не очень совместимо, в ней вообще никаких каталогов не было.

Изначально была dos 1.0, которая не поддерживала каталоги, но зато были утилиты, написанные ibm, которые использовали / для передачи опций, например dir /w. В unix для этих целей использовали -.

Потом, в dos 2.0, каталоги появились, но / уже был звнят, так что взяли обратный слэш, ну а потом понеслась обратная совместимость...

И тут IBM поднаcpал.

> Уявзимость позволяет выполнить код злоумышленника при извлечении
> данных ("git checkout") из репозитория,

чорд, я один не понимаю, где тут очередная "увизгвимость", достойная аж целых статей впопеннета?

Мы разьве эти самые данные...которые вообще-то скорее всего тоже код - не собирались выполнять? Чиста на посмотреть чекаутили?

А, "это другое", да...

Ну да, у вас на шинодшс одной дыренью больше или меньше - без разницы, всё равно всё дырявое. А на нормальных системах люди, представь себе, веб и мобильной разработкой занимаются - и код из репозиториев запускается в изолированной среде.

Предполагаю, что в Git Msys2 это тоже уязвимость.

Какой ужас!

Пора в лицензии прописать, что запускать линукс на платных платформах можно только после открытия всех спецификаций API проприетарщины чтобы Wine тоже мог быть полноценным.

такие как ты понаписывают, да

в cygwin (о котором речь в новости) линуксом который ядро даже и не пахнет
там в основном GNU

> маловероятно, что кто-то своими руками собирает git для Cygwin, а не использует готовый пакет

Тонко. Зачот.

Ну так windows, чему тут удивлсяться.

Правильно писать GNU/Windows.