Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в Git, Subversion и Mercurial, допускающая подста..., opennews (??), 11-Авг-17, (0) [смотреть все] +1 Не прокатило , Аноним (-), 09:46 , 11-Авг-17, (1) // Читер CODE --- git-2 13 4 connect c 2017-08-01 21 56 34 000000000 0300 , Andrey Mitrofanov (?), 11:06 , 11-Авг-17, (9) +9 Прокатило, запустился калькулятор CentOS 7 git clone ssh -oProxyCommand gnom, Аноним (-), 09:50 , 11-Авг-17, (2) +2 Так, наверное, это прокол IETF, прежде всего А то символ подчёркивания в именах, Аноним (-), 09:57 , 11-Авг-17, (4) –1   // Можно подумать, что передача других внешних данных в exec это нормально За 20, Аноним (-), 10:12 , 11-Авг-17, (5) +5   // Т е , твое мнение команды ProxyCommand быть не должно , Аноним (-), 10:24 , 11-Авг-17, (6) –1   // Я другой анон, но отвечу тут Мое мнение, -oProxyCommand gnome-calculator не д, Аноним (-), 17:20 , 11-Авг-17, (32) +2   А при чем здесь IETF Экранировать необходимо, при передаче ssh Запускает то наве, Аноним (-), 10:25 , 11-Авг-17, (7) –3   // Головой думать надо, а не экранировать Если по хорошему поддерживать использован, Аноним (-), 17:21 , 11-Авг-17, (33) –1   // Да, думать надо 99 , ничего скоро зима Согласен По этому безопаснее работать об, Аноним (-), 17:56 , 11-Авг-17, (34)   в моих системах ровно _ноль_ важных данных, принадлежащих не этому обычному пол, пох (?), 19:40 , 11-Авг-17, (47) –2   Попытка компиляции - это уже после Тут ты ловишь эксплойт ещё на этапе скачиван, pripolz (?), 18:11 , 11-Авг-17, (37) –1   Что экранировать, дефис Так он правильно воспринимается Просто такое имя хоста, Аноним (-), 19:32 , 11-Авг-17, (43) +1   // Точнее, запускаешь с EUID 0 git, который запускает ssh-клиент , Аноним (-), 19:33 , 11-Авг-17, (44)   Причём тут подчёркивание вообще Дефис - нормальный символ в имени хоста open-s, nobody (??), 11:04 , 11-Авг-17, (8) –3   // Боль системдешников от s-d-resolved, к которым прилетело от их фетиша http , Andrey Mitrofanov (?), 11:11 , 11-Авг-17, (10) +2   не в начале имени КО, EHLO (?), 13:13 , 11-Авг-17, (17) +1   Нормальный, если он не первый и не последний Читай RFC , Аноним (-), 15:21 , 11-Авг-17, (27) +2   Может сначала RFC3986 глянешь, а потом уже будешь на IETF наезжать Such a nam, Аноним (-), 15:19 , 11-Авг-17, (26)   Так всегда бывает, когда для каких-то целей используется команда с избыточной фу, YetAnotherOnanym (ok), 11:33 , 11-Авг-17, (11) // тебе надо выполнить некую команду на стороне сервера Программа для этой задачи,, пох (?), 14:54 , 11-Авг-17, (24) +2 // В данном случае вопрос в том, чтобы не была выполнена нежелательная команда на с, YetAnotherOnanym (ok), 16:57 , 11-Авг-17, (30) // от этого никуда не убежишь - слишком много ситуаций, когда требуется передавать , пох (?), 19:15 , 11-Авг-17, (39) –2 Давно изобрели 8212 используй любую из 9000 сторонних SHH-библиотек и всё ок , Аноним (-), 17:09 , 11-Авг-17, (31) –2 // гитлабовцы ващета руби-на-рельсах хипстеры, но сути это не меняет да, omnomnin (?), 17:59 , 11-Авг-17, (35) +1 Так уязвимость в гите или в стандартах на урлы вида ssh , Аноним (-), 11:34 , 11-Авг-17, (12) +1 // очевидно, в гите - какого хрена я не могу назвать свой хост -oProxyCommand gnome, пох (?), 12:20 , 11-Авг-17, (15) +3 // скорее всего, имя уже занятоможно использовать -oProxyCommand gnome-calculator , mmc (??), 14:15 , 11-Авг-17, (22) +1 В mercurial почти так же https www mercurial-scm org repo hg rev 739cc0f9cbb4, Аноним (-), 15:14 , 11-Авг-17, (25) // This paranoia probably isn t required, but it can t hurt either то есть они совс, пох (?), 19:48 , 11-Авг-17, (48) Не можешь, потому что стандарт не разрешает ни дефис в начале, ни где бы то н, Аноним (-), 15:23 , 11-Авг-17, (28) +1 // провижу массу интересных ремоут-хаков на теме того, что у нас не принято, а у и, пох (?), 19:19 , 11-Авг-17, (40) –3 --Маленький Бобби Тейблс, как мы его зовём , Andrey Mitrofanov (?), 19:23 , 11-Авг-17, (41) +1 Создай и продемонстрируй, тогда поговорим , Аноним (-), 19:37 , 11-Авг-17, (45) etc bind rndc reload localzone reload queued etc bind tail var log messagesA, little Boby Tables (?), 19:56 , 11-Авг-17, (49) –1 а зачем вообще гиту ssh , pripolz (?), 13:41 , 11-Авг-17, (20) –3 // Вместо smb Очевидно же , Andrey Mitrofanov (?), 13:49 , 11-Авг-17, (21) +6 не все хотят торчать в инет еще одним кривым сервисом не все хотят настраивать в, ваш К.О. (?), 14:49 , 11-Авг-17, (23) +3 Потому, что в голом git gitd вообще нет авторизации Она реализуется сторонн, Аноним (-), 09:29 , 12-Авг-17, (52) Это не баг, а фича , Аноним (-), 16:32 , 11-Авг-17, (29) –5 Нормальный такой нежданчик всё-таки Просто клонировал себе репозиторий Получил , pripolz (?), 18:00 , 11-Авг-17, (36) –2 // да ну, ожидаемый, на самом деле а зачем ему, он-то и через http неплохо могет , пох (?), 19:30 , 11-Авг-17, (42) –1 Ты клонируешь репозитории под рутом Может и perl-одностроки под ним запускаешь , Аноним (-), 19:39 , 11-Авг-17, (46) –1 // rm -rf и без рута может дров наломать, axredneck (?), 02:53 , 12-Авг-17, (50) +1 Я правильно понимаю, что параметр передаётся _ВМЕСТО_ имени хоста и это по сути , Аноним (-), 09:27 , 12-Авг-17, (51) Смотрю я на все эти уязвимости и у меня вопрос доколе будут делать все монолитом, Аноним (-), 02:30 , 13-Авг-17, (53) –1 // Потому что Торвальдс не эксперт по безопасности Он использовал самый простой пу, Аноним (-), 03:54 , 13-Авг-17, (54) // Иксперд, ты же в курсе, что в самом git вообще не предусмотрено ни шифрования, н, anonymous (??), 19:08 , 14-Авг-17, (56) // он вероятно как раз в курсе, и здраво относит это к банальному неумению линуса и, пох (?), 22:03 , 14-Авг-17, (58) –1 Это не здраво , а как раз больная фантазия фанатика Иди ещё раз кури идеолог, Аноним (-), 23:33 , 10-Сен-17, (64) На вот, почитай https git-scm com book en v2, anonymous (??), 19:12 , 14-Авг-17, (57) –2 он использовал самый кривой путь, какой только можно - и теперь, к сожалению, эт, пох (?), 22:18 , 14-Авг-17, (60) –1 _git_ ssh Какая тебе разница Если ты не пользуешься git over ssh, то тебя эта, Ordu (ok), 07:32 , 13-Авг-17, (55) // затрагивает - subrepo на сервере своем или гитхабе может попользоваться без , пох (?), 22:06 , 14-Авг-17, (59) –1 // При чём тут с ведома Если тебе понадобился ssh плагин, а его у тебя нет, то т, Ordu (ok), 22:45 , 14-Авг-17, (61) только что проверил на ansible, тоже работаетГлобальная проблема то, Аноним (-), 10:46 , 02-Сен-17, (62) // указал в hosts -oProxyCommand gnome-calculator -m advanced Работает, в ковычках , Аноним (-), 11:04 , 02-Сен-17, (63) 1,2,4,11,12,20,29,36,51,53,62

Сообщения

[Сортировка по времени | RSS]

4. "Уязвимость в Git, Subversion и Mercurial, допускающая подста..."	–1 +/–
Сообщение от Аноним (-), 11-Авг-17, 09:57
Так, наверное, это прокол IETF, прежде всего. А то символ подчёркивания в именах хостов они вообще запретили, а имена хостов начинающиеся с "-" значит можно.
Ответить | Правка | Наверх | Cообщить модератору

	5. "Уязвимость в Git, Subversion и Mercurial, допускающая подста..."	+5 +/–
	Сообщение от Аноним (-), 11-Авг-17, 10:12
	> Так, наверное, это прокол IETF Можно подумать, что передача других внешних данных в exec() это нормально. За 20 лет так *ничему* и не научились.
	Ответить | Правка | Наверх | Cообщить модератору

	6. "Уязвимость в Git, Subversion и Mercurial, допускающая подста..."	–1 +/–
	Сообщение от Аноним (-), 11-Авг-17, 10:24
	Т.е., твое мнение: команды ProxyCommand= быть не должно?
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Уязвимость в Git, Subversion и Mercurial, допускающая подста..."	+2 +/–
	Сообщение от Аноним (-), 11-Авг-17, 17:20
	> Т.е., твое мнение: команды ProxyCommand= быть не должно? Я другой анон, но отвечу тут. Мое мнение, "-oProxyCommand=gnome-calculator" не должно приводить к чему-то кроме запроса хоста, а значит, если оно передается через командную строку, то должно стоять после отсекателя опций "--".
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Уязвимость в Git, Subversion и Mercurial, допускающая подста..."	–3 +/–
	Сообщение от Аноним (-), 11-Авг-17, 10:25
	> Так, наверное, это прокол IETF, прежде всего. А то символ подчёркивания в > именах хостов они вообще запретили, а имена хостов начинающиеся с "-" > значит можно. А при чем здесь IETF? > Суть уязвимости сводится к тому, что при обработке URL "ssh://" допускается использование > символа "-" вначале имени хоста, что позволяет использовать это имя для передачи опций ssh. Например, указав: > > >    git clone ssh://-oProxyCommand=gnome-calculator/wat > > в качестве имени хоста при запуске ssh будет передана строка "-oProxyCommand", которая будет обработана как опция. Экранировать необходимо, при передаче ssh. > Так как через ssh-опцию ProxyCommand можно вызвать дополнительный обработчик установки соединения с сервером, появляется возможность выполнить любую команду в системе (в примере запускается gnome-calculator). Запускает то наверняка с EUID=0!
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	33. "Уязвимость в Git, Subversion и Mercurial, допускающая подста..."	–1 +/–
	Сообщение от Аноним (-), 11-Авг-17, 17:21
	> Экранировать необходимо Головой думать надо, а не экранировать. Если по хорошему поддерживать использование апстримного git в качестве инструмента обработки левых данных, там вообще нужно 99% кода переписать. Костыли на баше с пёрлом хорошо подходят для работы с локальными доверенными репозиториями, но выставлять их в интернет — дикое безумие. Что касается тонкостей с git-модулями, — не думаю, что это представляет практическую угрозу. В современных проектах столько скриптов, что при компроментации репозитория любая попытка компиляции проекта мгновенно закончится запуском кода злоумышленника. Да что там, — просто запустил автодополнение по Tab в шелле из папки с репозиторием, и получите-распишитесь.
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Уязвимость в Git, Subversion и Mercurial, допускающая подста..."	+/–
	Сообщение от Аноним (-), 11-Авг-17, 17:56
	>> Экранировать необходимо > Головой думать надо, а не экранировать. Да, думать надо. > Если по хорошему поддерживать использование апстримного git в качестве инструмента обработки > левых данных, там вообще нужно 99% кода переписать. Костыли на баше > с пёрлом хорошо подходят для работы с локальными доверенными репозиториями, но > выставлять их в интернет — дикое безумие. 99%, ничего скоро зима. > Что касается тонкостей с git-модулями, — не думаю, что это представляет практическую > угрозу. В современных проектах столько скриптов, что при компроментации репозитория любая > попытка компиляции проекта мгновенно закончится запуском кода злоумышленника. Да что там, > — просто запустил автодополнение по Tab в шелле из папки с > репозиторием, и получите-распишитесь. Согласен. По этому безопаснее работать обычным пользователем. Правда остается make install, так как код никто не смотрел :(
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Уязвимость в Git, Subversion и Mercurial, допускающая подста..."	–2 +/–
	Сообщение от пох (?), 11-Авг-17, 19:40
	> Согласен. По этому безопаснее работать обычным пользователем. Правда остается make в моих системах ровно _ноль_ важных данных, принадлежащих не этому "обычному пользователю". не говоря уже о вечном "inotify", когда рут на самом деле достается за пару секунд и одно обращение к клону metasploit, так что даже если вы необычный пользователь и имеете привычку даже банальный git pull дергать от nobody/special-git-runner, вас это вряд ли спасет.
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Уязвимость в Git, Subversion и Mercurial, допускающая подста..."	–1 +/–
	Сообщение от pripolz (?), 11-Авг-17, 18:11
	> В современных проектах столько скриптов, что при компроментации репозитория любая > попытка компиляции проекта мгновенно закончится запуском кода злоумышленника. Попытка компиляции - это уже после. Тут ты ловишь эксплойт ещё на этапе скачивания. Что несколько более смачно.
	Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

	43. "Уязвимость в Git, Subversion и Mercurial, допускающая подста..."	+1 +/–
	Сообщение от Аноним (-), 11-Авг-17, 19:32
	> Экранировать необходимо, при передаче ssh. Что экранировать, дефис? Так он правильно воспринимается. Просто такое имя хоста в принципе не должно передаваться ssh, потому что не является валидным. Ну и, как уже написали, после -- должно идти. > Запускает то наверняка с EUID=0! Если ты запускаешь ssh-клиент с EUID=0, то да. Только зачем ты это делаешь?
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	44. "Уязвимость в Git, Subversion и Mercurial, допускающая подста..."	+/–
	Сообщение от Аноним (-), 11-Авг-17, 19:33
	> Если ты запускаешь ssh-клиент с EUID=0, то да. Точнее, запускаешь с EUID=0 git, который запускает ssh-клиент.
	Ответить | Правка | Наверх | Cообщить модератору

	8. "Уязвимость в Git, Subversion и Mercurial, допускающая подста..."	–3 +/–
	Сообщение от nobody (??), 11-Авг-17, 11:04
	> А то символ подчёркивания в именах хостов они вообще запретили Причём тут подчёркивание вообще? Дефис - нормальный символ в имени хоста: open-std.org
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	10. "Уязвимость в Git, Subversion и Mercurial, допускающая подста..."	+2 +/–
	Сообщение от Andrey Mitrofanov (?), 11-Авг-17, 11:11
	>> А то символ подчёркивания в именах хостов они вообще запретили > Причём тут подчёркивание вообще? Дефис - нормальный символ в имени хоста: open-std.org Боль системдешников от s-d-resolved, к которым "прилетело" от их фетиша...>http://www.opennet.ru/opennews/art.shtml?num=46905
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Уязвимость в Git, Subversion и Mercurial, допускающая подста..."	+1 +/–
	Сообщение от EHLO (?), 11-Авг-17, 13:13
	>Дефис - нормальный символ в имени хоста: open-std.org не в начале имени. КО
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	27. "Уязвимость в Git, Subversion и Mercurial, допускающая подста..."	+2 +/–
	Сообщение от Аноним (-), 11-Авг-17, 15:21
	> Дефис - нормальный символ в имени хоста: open-std.org Нормальный, если он не первый и не последний. Читай RFC.
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	26. "Уязвимость в Git, Subversion и Mercurial, допускающая подста..."	+/–
	Сообщение от Аноним (-), 11-Авг-17, 15:19
	> Так, наверное, это прокол IETF, прежде всего. Может сначала RFC3986 глянешь, а потом уже будешь на IETF наезжать?    Such a name consists of a sequence of domain labels separated by ".",    each domain label starting and ending with an alphanumeric character    and possibly also containing "-" characters.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема