Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в Git, Subversion и Mercurial, допускающая подста..., opennews (??), 11-Авг-17, (0) [смотреть все] +1 Не прокатило , Аноним (-), 09:46 , 11-Авг-17, (1) // Читер CODE --- git-2 13 4 connect c 2017-08-01 21 56 34 000000000 0300 , Andrey Mitrofanov (?), 11:06 , 11-Авг-17, (9) +9 Прокатило, запустился калькулятор CentOS 7 git clone ssh -oProxyCommand gnom, Аноним (-), 09:50 , 11-Авг-17, (2) +2 Так, наверное, это прокол IETF, прежде всего А то символ подчёркивания в именах, Аноним (-), 09:57 , 11-Авг-17, (4) –1 // Можно подумать, что передача других внешних данных в exec это нормально За 20, Аноним (-), 10:12 , 11-Авг-17, (5) +5 // Т е , твое мнение команды ProxyCommand быть не должно , Аноним (-), 10:24 , 11-Авг-17, (6) –1 // Я другой анон, но отвечу тут Мое мнение, -oProxyCommand gnome-calculator не д, Аноним (-), 17:20 , 11-Авг-17, (32) +2 А при чем здесь IETF Экранировать необходимо, при передаче ssh Запускает то наве, Аноним (-), 10:25 , 11-Авг-17, (7) –3 // Головой думать надо, а не экранировать Если по хорошему поддерживать использован, Аноним (-), 17:21 , 11-Авг-17, (33) –1 // Да, думать надо 99 , ничего скоро зима Согласен По этому безопаснее работать об, Аноним (-), 17:56 , 11-Авг-17, (34) в моих системах ровно _ноль_ важных данных, принадлежащих не этому обычному пол, пох (?), 19:40 , 11-Авг-17, (47) –2 Попытка компиляции - это уже после Тут ты ловишь эксплойт ещё на этапе скачиван, pripolz (?), 18:11 , 11-Авг-17, (37) –1 Что экранировать, дефис Так он правильно воспринимается Просто такое имя хоста, Аноним (-), 19:32 , 11-Авг-17, (43) +1 // Точнее, запускаешь с EUID 0 git, который запускает ssh-клиент , Аноним (-), 19:33 , 11-Авг-17, (44) Причём тут подчёркивание вообще Дефис - нормальный символ в имени хоста open-s, nobody (??), 11:04 , 11-Авг-17, (8) –3 // Боль системдешников от s-d-resolved, к которым прилетело от их фетиша http , Andrey Mitrofanov (?), 11:11 , 11-Авг-17, (10) +2 не в начале имени КО, EHLO (?), 13:13 , 11-Авг-17, (17) +1 Нормальный, если он не первый и не последний Читай RFC , Аноним (-), 15:21 , 11-Авг-17, (27) +2 Может сначала RFC3986 глянешь, а потом уже будешь на IETF наезжать Such a nam, Аноним (-), 15:19 , 11-Авг-17, (26) Так всегда бывает, когда для каких-то целей используется команда с избыточной фу, YetAnotherOnanym (ok), 11:33 , 11-Авг-17, (11)   // тебе надо выполнить некую команду на стороне сервера Программа для этой задачи,, пох (?), 14:54 , 11-Авг-17, (24) +2   // В данном случае вопрос в том, чтобы не была выполнена нежелательная команда на с, YetAnotherOnanym (ok), 16:57 , 11-Авг-17, (30)   // от этого никуда не убежишь - слишком много ситуаций, когда требуется передавать , пох (?), 19:15 , 11-Авг-17, (39) –2   Давно изобрели 8212 используй любую из 9000 сторонних SHH-библиотек и всё ок , Аноним (-), 17:09 , 11-Авг-17, (31) –2   // гитлабовцы ващета руби-на-рельсах хипстеры, но сути это не меняет да, omnomnin (?), 17:59 , 11-Авг-17, (35) +1   Так уязвимость в гите или в стандартах на урлы вида ssh , Аноним (-), 11:34 , 11-Авг-17, (12) +1 // очевидно, в гите - какого хрена я не могу назвать свой хост -oProxyCommand gnome, пох (?), 12:20 , 11-Авг-17, (15) +3 // скорее всего, имя уже занятоможно использовать -oProxyCommand gnome-calculator , mmc (??), 14:15 , 11-Авг-17, (22) +1 В mercurial почти так же https www mercurial-scm org repo hg rev 739cc0f9cbb4, Аноним (-), 15:14 , 11-Авг-17, (25) // This paranoia probably isn t required, but it can t hurt either то есть они совс, пох (?), 19:48 , 11-Авг-17, (48) Не можешь, потому что стандарт не разрешает ни дефис в начале, ни где бы то н, Аноним (-), 15:23 , 11-Авг-17, (28) +1 // провижу массу интересных ремоут-хаков на теме того, что у нас не принято, а у и, пох (?), 19:19 , 11-Авг-17, (40) –3 --Маленький Бобби Тейблс, как мы его зовём , Andrey Mitrofanov (?), 19:23 , 11-Авг-17, (41) +1 Создай и продемонстрируй, тогда поговорим , Аноним (-), 19:37 , 11-Авг-17, (45) etc bind rndc reload localzone reload queued etc bind tail var log messagesA, little Boby Tables (?), 19:56 , 11-Авг-17, (49) –1 а зачем вообще гиту ssh , pripolz (?), 13:41 , 11-Авг-17, (20) –3 // Вместо smb Очевидно же , Andrey Mitrofanov (?), 13:49 , 11-Авг-17, (21) +6 не все хотят торчать в инет еще одним кривым сервисом не все хотят настраивать в, ваш К.О. (?), 14:49 , 11-Авг-17, (23) +3 Потому, что в голом git gitd вообще нет авторизации Она реализуется сторонн, Аноним (-), 09:29 , 12-Авг-17, (52) Это не баг, а фича , Аноним (-), 16:32 , 11-Авг-17, (29) –5 Нормальный такой нежданчик всё-таки Просто клонировал себе репозиторий Получил , pripolz (?), 18:00 , 11-Авг-17, (36) –2 // да ну, ожидаемый, на самом деле а зачем ему, он-то и через http неплохо могет , пох (?), 19:30 , 11-Авг-17, (42) –1 Ты клонируешь репозитории под рутом Может и perl-одностроки под ним запускаешь , Аноним (-), 19:39 , 11-Авг-17, (46) –1 // rm -rf и без рута может дров наломать, axredneck (?), 02:53 , 12-Авг-17, (50) +1 Я правильно понимаю, что параметр передаётся _ВМЕСТО_ имени хоста и это по сути , Аноним (-), 09:27 , 12-Авг-17, (51) Смотрю я на все эти уязвимости и у меня вопрос доколе будут делать все монолитом, Аноним (-), 02:30 , 13-Авг-17, (53) –1 // Потому что Торвальдс не эксперт по безопасности Он использовал самый простой пу, Аноним (-), 03:54 , 13-Авг-17, (54) // Иксперд, ты же в курсе, что в самом git вообще не предусмотрено ни шифрования, н, anonymous (??), 19:08 , 14-Авг-17, (56) // он вероятно как раз в курсе, и здраво относит это к банальному неумению линуса и, пох (?), 22:03 , 14-Авг-17, (58) –1 Это не здраво , а как раз больная фантазия фанатика Иди ещё раз кури идеолог, Аноним (-), 23:33 , 10-Сен-17, (64) На вот, почитай https git-scm com book en v2, anonymous (??), 19:12 , 14-Авг-17, (57) –2 он использовал самый кривой путь, какой только можно - и теперь, к сожалению, эт, пох (?), 22:18 , 14-Авг-17, (60) –1 _git_ ssh Какая тебе разница Если ты не пользуешься git over ssh, то тебя эта, Ordu (ok), 07:32 , 13-Авг-17, (55) // затрагивает - subrepo на сервере своем или гитхабе может попользоваться без , пох (?), 22:06 , 14-Авг-17, (59) –1 // При чём тут с ведома Если тебе понадобился ssh плагин, а его у тебя нет, то т, Ordu (ok), 22:45 , 14-Авг-17, (61) только что проверил на ansible, тоже работаетГлобальная проблема то, Аноним (-), 10:46 , 02-Сен-17, (62) // указал в hosts -oProxyCommand gnome-calculator -m advanced Работает, в ковычках , Аноним (-), 11:04 , 02-Сен-17, (63) 1,2,4,11,12,20,29,36,51,53,62

Сообщения

[Сортировка по времени | RSS]

11. "Уязвимость в Git, Subversion и Mercurial, допускающая подста..."	+/–
Сообщение от YetAnotherOnanym (ok), 11-Авг-17, 11:33
Так всегда бывает, когда для каких-то целей используется команда с избыточной функциональностью. Странно, что до сих пор не изобрели какой-нибудь EunuchSSH специально для таких целей. Тем, кто хочет ткнуть меня носом в rssh, отвечу заранее - это restricted shell for ssh, а не вариант ssh с урезанными возможностями.
Ответить | Правка | Наверх | Cообщить модератору

	24. "Уязвимость в Git, Subversion и Mercurial, допускающая подста..."	+2 +/–
	Сообщение от пох (?), 11-Авг-17, 14:54
	> Так всегда бывает, когда для каких-то целей используется команда с избыточной > функциональностью. тебе надо выполнить некую команду на стороне сервера. Программа для этой задачи, используемая повсеместно - ssh (если, конечно, тебе не больше  нравится rsh). Скорее побочной фичей является встроенная в него замена telnet (и она-то отключается). героически урезать ему возможности - бесполезная гонка за призраками.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Уязвимость в Git, Subversion и Mercurial, допускающая подста..."	+/–
	Сообщение от YetAnotherOnanym (ok), 11-Авг-17, 16:57
	> тебе надо выполнить некую команду на стороне сервера В данном случае вопрос в том, чтобы не была выполнена нежелательная команда на стороне клиента.
	Ответить | Правка | Наверх | Cообщить модератору

	39. "Уязвимость в Git, Subversion и Mercurial, допускающая подста..."	–2 +/–
	Сообщение от пох (?), 11-Авг-17, 19:15
	> В данном случае вопрос в том, чтобы не была выполнена нежелательная команда на стороне > клиента. от этого никуда не убежишь - слишком много ситуаций, когда требуется передавать аргументы. Контролировать это должен был код, вызывающий remote exec, а вот он-то у нас... мда... ну ладно, теперь они хотя бы минус в начале строки научились проверять. Не прошло и пятнадцати лет (когда там Линус разоcрался с биткиперами?)
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Уязвимость в Git, Subversion и Mercurial, допускающая подста..."	–2 +/–
	Сообщение от Аноним (-), 11-Авг-17, 17:09
	Давно изобрели — используй любую из 9000 сторонних SHH-библиотек и всё ок. Проверил, — в sshj.jar бага не воспроизводится. Просто разработчики Git и Subversion в страшном сне не могли представить, что их под**ие будет напрямую вызываться из скриптов в потрохах какого-нибудь Gitlab. А гитлабовцы, как истинные PHP разработчики, верили, что все вокруг более продвинутые, и экранировать входные данные не нужно — git же это сделает за них!
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

	35. "Уязвимость в Git, Subversion и Mercurial, допускающая подста..."	+1 +/–
	Сообщение от omnomnin (?), 11-Авг-17, 17:59
	>А гитлабовцы, как истинные PHP разработчики, верили, что все вокруг более продвинутые, и экранировать входные данные не нужно — git же это сделает за них! гитлабовцы ващета руби-на-рельсах хипстеры, но сути это не меняет да
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема