URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 129523
[ Назад ]
Исходное сообщение
"Две уязвимости в Git, способные привести к удалённому выполнению кода"
Отправлено opennews , 18-Янв-23 11:14 
Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.39.1, 2.38.3, 2.37.5, 2.36.4, 2.35.6, 2.34.6, 2.33.6, 2.32.5, 2.31.6 и 2.30.7, в которых устранены две уязвимости, позволяющие организовать выполнение своего кода на системе пользователя при использовании команды "git archive" и работе с не заслуживающими доверия внешними репозиториями. Уязвимости вызваны ошибками в коде форматирования коммитов и разборе файла ".gitattributes", которые при обработке внешних репозиториев могут привести к записи в область памяти за пределами кучи и чтению произвольных данных из памяти...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58498

Содержание
Сообщения в этом обсуждении
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 18-Янв-23 11:14 
Ведь не зря же, ведь не даром, git спалённый пожаром, на got заменена?..
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 18-Янв-23 11:27 
Неуловимый got
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено derfenix , 18-Янв-23 11:46 
И через поиск просто шикарно (никак) находится, да.
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 18-Янв-23 11:50 
"Got DVCS" : Пориск ничего не дал.
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 18-Янв-23 11:58 
речь про бздунячью NIH-реализацию гита
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 18-Янв-23 13:56 
Слово конкуренция пока что никто не отменял.
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 18-Янв-23 17:56 
Только тут не конкуренция, а паразитирование.
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 18-Янв-23 12:24 
Возможно вы имели в виду goat?
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 18-Янв-23 11:20 
Это дешёвый рекламный трюк CVS
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 18-Янв-23 11:31 
Ты ещё скажи что тот самый BitKeeper проплатил чтобы народ узнал что он уже давно под свободной лицензией Apache 2.0 (Ждет суда от индейцев)
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 18-Янв-23 12:02 
>Обе уязвимости были выявлены в ходе аудита безопасности кодовой базы Git, проведённого компанией X41 по заказу фонда OSTIF (Open Source Technology Improvement Fund).

А аудит уязвимости этого Биткипера (напомню, что во времена, когда он был проприетарным, и линуксоидов обвинили в том, что они нарушили еулу введя команду help, которая внезапно этот самый хелп и выдала) кто-то делал?

"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 18-Янв-23 12:15 
Papich 2.0 (величайший за работой)
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Страдивариус , 18-Янв-23 12:45 
Нужен клон на rust. Назовём gust.
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 18-Янв-23 12:54 
Тут целочисленное переполнение. Такое раст в продакшн сборке не в состоянии отловить.  
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Анонн , 18-Янв-23 13:00 
Тут проблема не в самом целочисленном переполнении, а в том что из-за него коряво посчитали память при копировании. Что как раз бы было отловлено в продакшене.
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 18-Янв-23 13:32 
> Что как раз бы было отловлено в продакшене

если растаманы не перепутают знаки сравнения, как в FF, рассчитывая попадание смещения в буфер.

"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено annonn , 18-Янв-23 13:38 
Ты про тот эпичный баг в nftables (https://www.opennet.dev/opennews/art.shtml?num=58480) ?
Согласен, повышение привелегий это достаточная цена чтобы писать код на С
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 18-Янв-23 13:54 
А тут https://www.opennet.dev/opennews/art.shtml?num=55167 чего случилось?
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено animenimus , 18-Янв-23 14:30 
> приводящих к краху и не исключающих возможность создания эксплоитов для повышению привилегий в системе.

читаю как "мы смогли уронить аппу, но обделались представить рабочий эксплойт"

И напомни пожалуйста где написано что rust "решает логические и алгоритмические ошибки"?
Я доку почитал, там нету.
Может у тебя есть альтернативные источники?

"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Анонн , 18-Янв-23 14:30 
А тут доказан только креш, что хорошо. RCE там только потенциальное, в отличие от этого.

Плюс ты сравниваешь какое-то васяноподелие версии <0.4, которое еще даже не релизнулось, с модулем ядра, который уже много лет в проде. Как-то не очень сравнение, не кажется ли?

"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Вы забыли заполнить поле Name , 18-Янв-23 16:05 
Дык пусть на расте напишут ядро уровня линукса, тогда и сравним.
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Анонимусс , 18-Янв-23 17:42 
Как твое "сперва добейся" оправдывает тупейшую ошибку с перепутанными знаками в ядре?
Типа "ядро большое, поэтому там можно знаки путать"?
Или "ядро большое, от пары перепутанных знаков не убудет"?
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Вы забыли заполнить поле Name , 19-Янв-23 03:38 
> Как твое "сперва добейся" оправдывает тупейшую ошибку с перепутанными знаками в ядре?

Оправдать - это ты такую цель видишь у меня ее нет. Просто в больших проектах (не важно на каком языке) вероятность совершить ошибку выше, особенно если проект активно развивается. Вот когда на расте напишут крупный проект подобного уровня, то тогда и будем смотреть какие там ошибки совершат.

"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Анонимусс , 18-Янв-23 18:46 
О, еще один свидетель перепутанного знака в FF.
Скинь ссылку на код. Или тоже сольешься как все предыдущие анонимы?
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Анонто , 18-Янв-23 15:00 
Рекомендую вам для прочтения статью https://rustycrate.ru/%D0%BE%D0%B1%...
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Страдивариус , 18-Янв-23 17:57 
> Рекомендую вам для прочтения статью https://rustycrate.ru/%D0%BE%D0%B1%...

Да что вы, в конце концов? Сарказм не почувствовали в моём каменте?

"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено AnnoniusII , 18-Янв-23 19:55 
Закон По в действии.
Как ты отличишь сарказм от глупости, и троля от дурака?
А с учетом большинства сидящих на пеньке... вывод может быть не утешительный T_T
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Michael Shigorin , 18-Янв-23 13:57 
Сразу на облачном rust -- mist rust!
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено animenimus , 18-Янв-23 14:36 
Ты лучше скажи когда альт будут переводить на скрепные языки?
Ибо негоже на буржуйском писать!
Когда вместо языка англосаксов будет православный РУСЛ, Гонец или на крайняк Оберон07
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 18-Янв-23 15:09 
А как же КуСпецоперация?
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Омномним , 18-Янв-23 21:15 
grust же
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Анонимусс , 18-Янв-23 12:58 
Может где-то описано что запуская это код можно получить RCE?
Напр. в документации или в исходном коде? А то что-то не получается найти
Может оно где-то еще записано? Сишники, подскажите пожалуйста.
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено ИмяХ , 18-Янв-23 13:40 
Наxepa столько параллельных версий?
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено annonn , 18-Янв-23 13:45 
Ну что ты как маленький.
Это же опенсорс - тут каждый второй васян, придумав новую гениальную идею и получив закономерный отказ начинает пилить свой вариант с преферансом и куртизанками.
В итоге получается 100500 разных вариантов апп с разными возможностями.

Но что поделаешь - это уже традиция.

"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено animenimus , 18-Янв-23 13:49 
для поддержки всяких любителей мамонтовых копролитов
тут часто такие рассказывають что ядро 2.9 самое лучшее и обновляться не нужно
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 18-Янв-23 13:56 
Так, а с ядром 2.9 что не так-то опять?
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 18-Янв-23 14:30 
> Так, а с ядром 2.9 что не так-то опять?

То что они не релизилось никогда :)

"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено анониммус , 18-Янв-23 17:36 
"это не важно! если бы вышло - то было бы лучшим, не то что современные поделия 5.х" - так они и сидят на 2.6 (со старыми дырками и дырищами) и хейтят прогрес
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 18-Янв-23 13:55 
Потому что Линукс подразумевает перестройку мира на любой чих версии. Ну и потом что твой мегакод может не пережить переезда на новую версию и ты всегда будешь сидеть на старом гите с патчами.  
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Michael Shigorin , 18-Янв-23 13:59 
> Потому что Линукс подразумевает перестройку мира на любой чих версии

Похоже, салат был не с опятами...

"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено kusb. , 18-Янв-23 14:25 
Он частично прав - в Linux зависимостями всё связано со всем и обычно есть только одна версия библиотеки. Это может начать прямо ужас какой снежнокомовый процесс циклического рода.
Типа новая версия программы требует новую библиотеку, а новая библиотека уже не совместима с чем-то старым. В результате трудно понять что нужно будет обновить при обновлении чего-то одного, а то и удалить. Скованные одной цепью, связанные одной целью, ура!
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено OpenEcho , 18-Янв-23 15:25 
> Он частично прав - в Linux зависимостями всё связано со всем и обычно есть только одна версия библиотеки.

Вот поэтому и популярность Go, продукты которого будут работать в пределах платформы не опираясь он "святую" glibc

"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 18-Янв-23 16:05 
По умолчанию Go упирается на libc, чтобы не упирался надо ключи сборки угадать.  
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено OpenEcho , 18-Янв-23 16:26 
> По умолчанию Go упирается на libc, чтобы не упирался надо ключи сборки
> угадать.

Это правда лимитация или теперь все копиляторы без ключей работают?

    env CGO_ENABLED=0 GOOS=linux GOARCH=amd64 \
      go build -trimpath -ldflags "-s -w -extldflags '-static'" ./main.go

"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Нонанин , 18-Янв-23 15:07 
Вы это говорите как эксперт по импорту из Аргентины?
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 18-Янв-23 16:06 
Им бесплатно выдают. Ты думаешь почему у них там в Альте такая маленькая зарплата.  
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 18-Янв-23 19:56 
В следующий раз рекомендую брать нормальный салат без грибов.
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 18-Янв-23 14:09 
На opennet принято за ошибки в коде ругать языки?)
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено kusb. , 18-Янв-23 14:27 
А что ещё ругать?
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено animenimus , 18-Янв-23 14:40 
Ну не програмистов же!
Они святые люди которые никогда не делают use after free и не портят память.
А те кто делают - это не настоящие программеры и вообще этот код в проект подбросили.
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено OpenEcho , 18-Янв-23 15:19 
> Они святые люди которые никогда не делают use after free и не портят память.

А не святые идут в Go, там им мусорщик в помощь

"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Анонимусс , 18-Янв-23 14:50 
Ну да, это конечно не язык виноват, в котором до сих пор нет такой базовой вещи как нормальный буфер, который знает свой размер. И приходится каждый раз или лажать в арифметике или писать свой велосипед.
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 18-Янв-23 15:31 
Как ошибка в rust каком-то, то тут через одного перепись экспертов. А как в Си очередной раз что-то проглядели, то уже проблема проекта и программиста. Ведь эксперты гуру никогда не делают ошибок в кодовой базе, особенно в большой.
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Анонн , 18-Янв-23 15:37 
Это смотря какая ошибка и какие последствия.
Если это какая-то логическая - типа как знак перепутали в nftables - это одно, оно может быть везде. Но когда ее результат в очередной раз испорченная память и RCE - это совсем другое.

От сишников никто не просят не делать логических ошибок, это невозможно. Ни на си, ни на раст, ни даже на ада.

Просто перестаньте портить память! Это что, так сложно в нужным момент вызывать free (и только один раз!) и не писать за пределы буфера?

"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 19-Янв-23 00:35 
Судя по тому что за столько лет существования Си, уязвимости связанные с такими ошибками до сих пор в топе, то выглядит как то что нельзя просто взять и перестать их делать. Либо же это требует колоссальных усилий, что возможно только в некоторых самых критичных областях.
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 18-Янв-23 15:54 
Здесь дело в нестрогости типизации. int и size_t перепутать -- чисто сишная фишка.
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено OpenEcho , 18-Янв-23 15:34 
> На opennet принято за ошибки в коде ругать языки?)

Если б только языки, здесь такое количество телепатов (или инопланетян или точнее π3доболов) что поставят диагноз на раз в любой области науки, без доказательств, с обзываниями... но надо отдать должное, что бывает и жемчуг, ради чего и приходится просматривать анонимные просерания

"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено ip1982 , 18-Янв-23 15:39 
Да я каждый день удалённо код выполняю с помощью гита — пушаю на гитхаб :)
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 18-Янв-23 19:31 
>Ubuntu
>Released
>Debian
>Vulnerable

Вся суть Дебиана.

"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 19-Янв-23 09:26 
Что значит за пределами кучи? Что за куча?
"Две уязвимости в Git, способные привести к удалённому выполн..."
Отправлено Аноним , 19-Янв-23 10:21 
> Что значит за пределами кучи? Что за куча?

https://ru.wikipedia.org/wiki/%D0%9A%D1%...)
Куча в информатике и программировании — название структуры данных, с помощью которой реализована динамически распределяемая память приложения.