Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Ошибка в обработчике GitHub Actions привела к публикации вредоносных релизов Ultralytics"	+/–
Сообщение от opennews (??), 07-Дек-24, 16:03
Злоумышленники смогли выполнить код с правами обработчика  GitHub Actions в репозитории Python-библиотеки Ultralytics, применяемой для решения задач компьютерного зрения, таких как определение объектов на изображениях и сегментирование изображений. После получения доступа к репозиторию атакующие опубликовали в каталоге PyPI несколько новых релизов Ultralytics, включающих вредоносные изменения для майнинга криптовалют. За последний месяц библиотека Ultralytics была загружена из каталога PyPI более 6.4 млн раз... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62365
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 07-Дек-24, 16:03	+5 +/–
красиво, чо... компьютерное зрение удачно выбрано
Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от YetAnotherOnanym (ok), 07-Дек-24, 16:07	+/–
> в секции "run" файла action.yml, в котором присутствовали shell-команды Классика жанра.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #25

4. Сообщение от Аноним (4), 07-Дек-24, 16:38	+5 +/–
Неа. Классика жанра - это "в shell-команды без должного экранирования"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #41

6. Сообщение от нах. (?), 07-Дек-24, 16:50	+/–
Хорошо, очень хорошо, просто замечательно!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11

11. Сообщение от Аноним (11), 07-Дек-24, 18:40	–1 +/–
Ну для тех кто не делал открытого софта это может и хорошо, а мне как-то не очень.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #40

14. Сообщение от InuYasha (??), 07-Дек-24, 19:29	+6 +/–
Дивный новый мир. В нём миллионы автоматически цепляющихся из централизованных гитов зависимостей, ленивых разработчиков, чрезмерно интегрированных IDE, и забрасывание релизов старше 10 минут. Владелец реймворка правит миром. Update or die. Как это мило когда они страдают. :3
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19

15. Сообщение от Аноним (15), 07-Дек-24, 19:31    Скрыто ботом-модератором	+1 +/–
ну що, сынку, допомогла тоби твоя двоххвакторка? интересна цель атакующих, кстати
Ответить | Правка | Наверх | Cообщить модератору

19. Сообщение от Аноним (19), 07-Дек-24, 20:05	–4 +/–
И они ещё и отрицают докер. Хотя тут минималка это отдельная виртуалка на отдельном сервере.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #21

21. Сообщение от Аноним (21), 07-Дек-24, 21:54	+/–
Docker платный и 100% гарантию не даст. И rust ваш не даст от таких атак гарантий. Кто-то ранее писал о переполнении - при чем тут переполнение? Ещё не известно что именно повлияло на конечный результат. Microsoft вообще любители нанять индусов и развести культуру качества по количеству кода у них, хоть официально вроде от этого отказались, тем не менее некоторые индусы и после этого жаловались. Они как найдут какой-нибудь способ что-то делать и везде его применяют не задумываясь о безопасности или целесообразности чего-либо применять. А потом жалуются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #26

25. Сообщение от Аноним (53), 07-Дек-24, 22:25	–10 +/–
Классика жанра - это диды, пишущие скрипты на баше, но так и не научившиеся эти скрипты писать безопасно. А потом, они ещё и рассказывают, что баш выучить легче чем nix.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #29, #39, #42

26. Сообщение от анон (?), 07-Дек-24, 22:51	+/–
Кому и зачем вы платите за докер?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #48

29. Сообщение от scriptkiddis (?), 07-Дек-24, 23:07	+/–
Так а на чем надо писать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #32

32. Сообщение от Аноним (32), 08-Дек-24, 00:47	–3 +/–
> Так а на чем надо писать? На лиспе разумеется. Если нет - на руби. Если ну уж сильно не нравится, то даже питон будет лучше баша. Вообще сложно представить что-то, что будет хуже баша.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #38, #52

35. Сообщение от Аноним (35), 08-Дек-24, 04:47	+/–
>в shell-команды без должного экранирования подставлялось название Git-ветки, упоминаемой в pull-запросе. Переводя на обычный: Выполни код, на который указал незнакомец.
Ответить | Правка | Наверх | Cообщить модератору

36. Сообщение от Carantin (?), 08-Дек-24, 06:39	+1 +/–
А какую крипту майнили?
Ответить | Правка | Наверх | Cообщить модератору

37. Сообщение от Аноним (35), 08-Дек-24, 07:15	+/–
Печально, что у таких "раздалвателей" 6 млн загрузок.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45

38. Сообщение от bergentroll (ok), 08-Дек-24, 08:17	+3 +/–
На бумаге, на бумаге!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

39. Сообщение от Аноним (39), 08-Дек-24, 08:44	+2 +/–
Там не важно на чём писать, там исходный код (в данном случае баш-выражение) генерируется через текстовый шаблон. Если ты даёшь пользователю возможность в этот шаблон подставлять что угодно без экранирования, то это - дыра. Хоть в лисп, хоть куда. То есть претензии к А) шаблонизатору, Б) гатхаб акшонам, которые хотят на вход беш-выражение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

40. Сообщение от Аноним (40), 08-Дек-24, 10:34	+2 +/–
Это ошибочное мнение, что для того, чтобы делать открытый софт, нужно подлезть под Майкрософт с его финишовым поделием.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #46

41. Сообщение от YetAnotherOnanym (ok), 08-Дек-24, 11:02	+/–
Тут как-то мелькнула новость о взломе чего-то, когда в аргументы шелл-команды злые хакеры пропихнули что-то своё в виде эскейпнутых 16-ричных кодов. Проверка такую строку пропустила, а шелл преобразовала кода обратно в символы и выполнила команду хакера. Вообще, использовать run (оно же в разных языках command, system и пр.) - это такой же моветон, как goto в си. Но подтянуть либу и дёрнуть функцию из её - это слишком сложно, поэтому рядовой юзер тупо прописывает привычную командную строку в аргументе run.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #53

42. Сообщение от YetAnotherOnanym (ok), 08-Дек-24, 11:13	+3 +/–
Но-но-но! Вот не надо тут насчёт дидов и баша, тут не тема не про sysvinit! Молодняк держится вполне вровень с дидами насчёт вызова шелл-команд из других языков. Когда надо что-то сделать с какими-то данными, проще всего вколотить знакомую строку в аргумент для run, чем импортировать .so'шную либу и вызвать из неё нужную функцию. Проще загнать аргументы одной строкой "--key1 value1 --key2 value2", чем составлять массив туплов [("key1","value1"),("key2","value2")], проще принять и обработать exit code от run, чем ловить крах вызова функции. А потом приходит расплата за лень.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

45. Сообщение от Ееее (?), 08-Дек-24, 17:27	+2 +/–
Крипта сама себя не намайнит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

46. Сообщение от нах. (?), 08-Дек-24, 17:57	+/–
твой хеловрот к сожалению уже написан. А чтобы делать софт делаемый большими командами - нужно либо еще одну команду - профессиональных админов, плюс заставлять бедных неженок у которых так не хватает времени и сил на копипасту со стековерфлова учиться непривычным то языкам, то инструментам, а то ж они и патч оформить не смогут. Плюс (то есть минус) что за теми инструментами не стоит microsoft с миллиардными зарплатами, и они в общем-то быстро устаревают не успевая угоняться за модными тенденциями.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #49, #51

48. Сообщение от Аноним (-), 08-Дек-24, 20:52	+/–
Ну не все компании Microsoft в России созданы. По законодательству некоторых стран лицензионное соглашение для коммерческого использования подразумевает оплату. Если вы политик, то конечно могли бы принять закон о том что в России отменяются американские законы и на их серверах можно спокойно размещать Docker, возможно даже все сервера мира Microsoft перетащит в Россию, куда-нибудь под Нью-Васюки для того чтобы пользоваться Docker бесплатно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

49. Сообщение от Аноним (49), 09-Дек-24, 01:04	+/–
Очень интересно, в какой компании вы работаете...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

51. Сообщение от Аноним (51), 09-Дек-24, 06:49	+/–
Это ошибочное мнение, что для того, чтобы делать открытый софт, нужно обязательно использовать какой-то публичный сервер Git. Можно поднять его на собственной инфраструктуре. Так и поступают некоторые проекты. Если проект небольшой (как в моем случае - личный), то публичный репозиторий можно использовать только для распространения СПО.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #54

52. Сообщение от myster (ok), 09-Дек-24, 11:49	+/–
> Вообще сложно представить что-то, что будет хуже баша. В Bash скриптах участие самого Bash минимально. В основном, shell скрипты - это запуск UNIX утилит и других программ и обработка их вывода. Использовать тут что-то другое, кроме Shell синтаксиса (будь то Bash, ZSH, KSH, Fish и тп оболочки, не важно) выглядит как Overkill. Даже Pythion overkill, для этих задач.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

53. Сообщение от Аноним (53), 10-Дек-24, 15:03	+/–
>Тут как-то мелькнула новость о взломе чего-то, когда в аргументы шелл-команды злые хакеры пропихнули что-то своё в виде эскейпнутых 16-ричных кодов. Проверка такую строку пропустила, а шелл преобразовала кода обратно в символы и выполнила команду хакера. Неправильно реализовали экранирование >Но подтянуть либу и дёрнуть функцию из её - это слишком сложно Это не всегда возможно, так как библиотеки может просто не быть для нужно языка, а склеивать несколько языков будет сложно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

54. Сообщение от нах. (?), 13-Дек-24, 18:55	+/–
> Если проект небольшой (как в моем случае - личный), то публичный репозиторий можно использовать > только для распространения СПО. угу - тебе открывают issue - ты его закрываешь "идите на мой ценный... а, впрочем, нет у тебя - вон в мэйл идите письма писать на деревню спамотcocину", пулреквест ? нахрен тот пулреквест, не так подан! Особенно для твоего хеловрота с полутора заинтересованными лицами это будет здорово. От тех полутора и половинки не останется (потому что никто никуда, разумеется, не пойдет, не так подано - ну и не пользуйся) А если ты ничего такого не делаешь, за сообщениями следишь, пул-реквесты на шитхапе или шитляпе рассматриваешь - ну так поздравляю, теперь ты держишь ДВА сервиса, и тебе их еще и синхронизировать надо. А собственную инфраструктуру содержать - довольно дорого, внезапно, обходится. Причем ладно б только в материальном плане - но можно и репутацией поплатиться. Вон афтыри php наглядный тебе пример показали. И раз у тебя уже есть одна, которую поддеживает дядя - рано или поздно ты вынужден будешь "принять сложное решение", и зарезать прожорливого порося, от которого никакой пользы нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема