Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Критическая уязвимость в Git LFS, проявляющаяся на платформе Windows, opennews (??), 05-Ноя-20, (0) [смотреть все] Эх Ничему Microsoft история не учит Потому что в Виндах в принципе ущербно сде, Аноним (1), 11:14 , 05-Ноя-20, (1) +8 // Или ещё один хак В винде на 7 точно делал меняешь c windows system32 sethc e, m.makhno (ok), 11:21 , 05-Ноя-20, (4) +4 // И че с правами юзера работает Или то что ты такой крутой под админом на юнихах , Дегенератор (ok), 11:57 , 05-Ноя-20, (12) –2 // Если знаешь волшебные команды винды, то конечно Или о чём вопрос Речь разве про, m.makhno (ok), 12:20 , 05-Ноя-20, (20) –1 Вот это возможно сделать от юзера Или опять админ сам себя ломает , nebularia (ok), 12:30 , 05-Ноя-20, (23) +8 Невозможно Это один из способов сделать себе админа при наличии физического дос, Карабьян (?), 12:40 , 05-Ноя-20, (26) +2 Это можно сделать хоть с хацкерской флешки, лишь бы был физический доступ к диск, m.makhno (ok), 12:42 , 05-Ноя-20, (29) +3 Флешка с Linux Live и ntfs-3g пойдёт , Аноним (36), 13:23 , 05-Ноя-20, (36) +1 подойдёт так и работали , Ph0zzy (ok), 13:42 , 05-Ноя-20, (40) +4 А в чём прикол Если запустил линукс с флешки хоть винт форматнуть можно, в чём , Козлетто (?), 14:58 , 05-Ноя-20, (48) +2 А, понял Вы, вероятно, про саму подмену Пишите более чётко Нет, конечно, нужн, m.makhno (ok), 13:37 , 05-Ноя-20, (39) –1 Это не уязвимость , Аноним (22), 12:24 , 05-Ноя-20, (22) +1 // А я говорил про уязвимость Просто пример наглой эксплуатации механизма работы и, m.makhno (ok), 12:44 , 05-Ноя-20, (31) –1 Лол, так и вход в систему без пароля если юзер его не установил тоже можно на, AnonPlus (?), 16:00 , 05-Ноя-20, (49) –4 Лол походу ты Какая нафиг блокировка сеанса, почитай внимательнее то, о чём я п, m.makhno (ok), 16:22 , 05-Ноя-20, (50) Напоминает троллейбус из буханки хлеба , Аноним (44), 14:18 , 05-Ноя-20, (44) +1 Но вообще это забавно и подчёркивает то, что даже Microsoft не умеет писать софт, Аноним (1), 11:21 , 05-Ноя-20, (5) –1 // Категорически согласен Как-то в молодости надо было сделать DLL Взял толстую к, Аноним (11), 11:51 , 05-Ноя-20, (11) +2 // Тебе не нравится Ты бы был счастлив, если бы СВОЮ не сумел написать Да что ж с, Дегенератор (ok), 11:59 , 05-Ноя-20, (13) –3 Мания величия, самоощущение _элитарности_ - вот что творится Причем это не имее, IRASoldier_registered (ok), 07:19 , 06-Ноя-20, (75) +1 Если привыкли делать это как в юниксах, то компилятор сам заменит so на dll, Карабьян (?), 12:43 , 05-Ноя-20, (30) –1 Так тебе и требовалось написать свою не Или ты свою книгу по длл написал , Гудрон_из_саванны (?), 12:51 , 05-Ноя-20, (32) Ты не поверишь, но там работают такие же люди как и везде у них нет никаких допо, Аноним (25), 12:39 , 05-Ноя-20, (25) // С той разницей, что майки могут позволить себе очень дорогой контроль качества, , Денис Попов (?), 13:57 , 05-Ноя-20, (42) +1 В смысле из-под самого Бангалора, а не с той дальней деревни DPS что-то не сл, Michael Shigorin (ok), 14:09 , 05-Ноя-20, (43) –2 В том то и дело, позволить могут, а нанимают бомжей , Денис Попов (?), 14:22 , 05-Ноя-20, (46) +2 Так вам и говорят что они должны нанимать архангелов для провеоки а не бомжей , microsoft (?), 17:17 , 05-Ноя-20, (56) Ну почему бомжей, Go написала для них конторка денежная, хоть и забесплатно , n00by (ok), 17:19 , 05-Ноя-20, (57) –2 Поискал за Вас https github com git-lfs git-lfs blob 74d5f2397f9abe4834bf1fe1f, n00by (ok), 12:11 , 05-Ноя-20, (18) –2 Кое-чему они все-таки научены проекты, которые в самом ближайшем будущем не пла, Lex (??), 13:48 , 05-Ноя-20, (41) –1 а в линуксе, где путь usr lib хардкодится в экзишники и библиотеки при компиляц, еман (?), 11:06 , 06-Ноя-20, (86) Не читаю астрологических прогнозов, но, видимо, был объявлен промежуток времени, m.makhno (ok), 11:15 , 05-Ноя-20, (2) +2 // Время пиара, которое мы запомним ни как повальную блокировку и удаление неугодны, Аноним (-), 11:18 , 05-Ноя-20, (3) +2 Ну а что, тема хайповая, всегда найдётся толпа любителей позлорадствовать , Qwerty (??), 11:22 , 05-Ноя-20, (6) –2 // а чего бы не позлорадствовать - вся коллекция архитктурный проблем Windows на, Xasd7 (?), 11:42 , 05-Ноя-20, (8) +4 Это было бы злорадство, если бы это реально была ошибка в программе, а не ущербн, Аноним (1), 11:48 , 05-Ноя-20, (9) // И сколько у вас уже было _local_root_ а не запуск не того гит от обычного юзера, ms (??), 12:22 , 05-Ноя-20, (21) –1 Вы конечно правы, но нужно было это всё делать лет 50 назад Сейчас арихитектура , Ivan_83 (ok), 12:40 , 05-Ноя-20, (27) вот только с собой это по смыслу НЕ должно быть синонимом current work direct, Xasd7 (?), 13:20 , 05-Ноя-20, (35) +3 Понимаю, удобный случай позлорадствовать, но где вы все и Вы в частности увиде, n00by (ok), 17:29 , 05-Ноя-20, (60) +1 Microsoft купила GitHub, а вместе с ним ему досталась и поделка Git LFS Так что, M (?), 17:35 , 05-Ноя-20, (61) Для тех учителей, кто даже после цитат и прямых намёков не понял -- уязвимость , n00by (ok), 17:40 , 05-Ноя-20, (63) +1 Текущий каталог в PATH в винде по умолчанию, но виновата библиотека Неожиданный, Аноним (68), 20:02 , 05-Ноя-20, (68) В MSDN поведение документировано Документировано Разработчики под ту систему д, n00by (ok), 09:09 , 06-Ноя-20, (77) А что Майки блочат все неугодное направо и налево хотя с dmca хоть без Как раз , Аноним (25), 12:40 , 05-Ноя-20, (28) –1 // Это тебе твой господин запретил называть мелкософт неприятными для него словами , Аноним (-), 12:05 , 07-Ноя-20, (91) Windows всегда была дыркой, совсем не удивительно, что уязвимости продолжают нах, Иваня (?), 11:29 , 05-Ноя-20, (7) –3 // То ли дело кocтылинупc, в котором ту же Dirty Cow видели почти 10 лет, но принци, Аноним (73), 20:39 , 05-Ноя-20, (73) // Не видели - а держали в секрете Копрорации кстати это делали , Аноним (-), 12:07 , 07-Ноя-20, (92) Чего только народ не придумывает, лишь бы не юзать нормальные системы контроля в, Аноним (10), 11:49 , 05-Ноя-20, (10) –2 // Это какие , morruth (?), 12:00 , 05-Ноя-20, (14) Ради научного интереса, что вы считаете нормальной системой контроля , Аноним (17), 12:06 , 05-Ноя-20, (17) // Новая папка 244 конечно же , ms (??), 12:15 , 05-Ноя-20, (19) +7 SVN, Hg к примеру, Аноним (10), 12:34 , 05-Ноя-20, (24) –2 // В 2020-м использовать нераспределённые системы контроля версий такое себе , Аноним (36), 13:12 , 05-Ноя-20, (34) А чего вы хотели Распределённость и частичный чекаут больших файлов взаимно про, Козлетто (?), 18:30 , 05-Ноя-20, (66) +1 SVN 8212 не смешно Hg 8212 ну да, конечно, там не нужен LFS Там ведь есть, Аноним (68), 14:21 , 05-Ноя-20, (45) +2 А не надо запускать процессы Нужно импортировать dllки Если разрабы Git против, Аноним (15), 12:01 , 05-Ноя-20, (15) –2 // не так правильная фраза такая -- либо воссоздать с нуля на растишке, и переора, Xasd7 (?), 13:31 , 05-Ноя-20, (38) +1 А теперь объясни, с какой радости разрабы git должны переделывать всё так, как п, Аноним (68), 14:28 , 05-Ноя-20, (47) +2 // Mesa у тебя тоже в отдельном процессе На доработку такие платформы Дллки линкуют, Аноним (15), 16:25 , 05-Ноя-20, (52)   // Они там не запускают процессы, а вызывают стандартную функцию Go https golang , n00by (ok), 17:13 , 05-Ноя-20, (55) –2   Вот что за бараны Вас минусуют, Карабьян (?), 18:07 , 05-Ноя-20, (65) +1   Кто-то по старой памяти, кому-то возразить нечего, а для кого-то я непонятно пиш, n00by (ok), 19:26 , 05-Ноя-20, (67)   Те, которые понимают, что делает эта стандартная библиотечная функция, и знают, , Аноним (68), 20:07 , 05-Ноя-20, (69) +1   А эта функция, на которую я выше привел ссылку, ничего криминального и не дела, n00by (ok), 09:47 , 06-Ноя-20, (83)   Кстати, тут Вы угадали, уникальный случай Аргументация ваша любимая Microsoft , n00by (ok), 10:00 , 06-Ноя-20, (84)   А ничего, что CWD в PATH по умолчанию в Винде, а виновата, внезапно, конечно же , Аноним (76), 09:07 , 06-Ноя-20, (76)   Где она следует и как Вы про это узнали Сами придумали Или дадите цитату из до, n00by (ok), 09:14 , 06-Ноя-20, (78)   В том числе На чипе контроллера во флешках есть специальная нога для защиты от , Аноним (15), 13:30 , 06-Ноя-20, (87)   И причём здесь mesa О том, что доработка может быть нецелесообразна по объективн, Аноним (68), 17:21 , 05-Ноя-20, (58)   Вот разработчики и написали за Гугль правильную LookPath , когда узнали, что до, n00by (ok), 17:36 , 05-Ноя-20, (62) –2   Где же она врёт-то Как написано, так и работает , Аноним (68), 20:08 , 05-Ноя-20, (70) +1   Дайте цитату документации Go где написано, что будет запуск из текущего каталога, n00by (ok), 09:16 , 06-Ноя-20, (80)   Т е по вашему, функция, которая ищет бинарники в PATH, внезапно, не должна иска, Аноним (76), 09:14 , 06-Ноя-20, (79)   В Винде входит, о чём в документации Винды прямо написано В Go в некоторых случ, n00by (ok), 09:18 , 06-Ноя-20, (81)   Значит это мёртвые ненужные платформы Это забота разработчика платформы - реализ, Аноним (15), 13:38 , 06-Ноя-20, (88)   Примечательно, что в описании функции Win32 API CreateProcessW о подобном риск, n00by (ok), 12:04 , 05-Ноя-20, (16) +4 // В описании говорится о другом риске О риске запуска другого exe если путь содер, Аноним (71), 20:18 , 05-Ноя-20, (71) // Простите, но я даже и не думал, что кому-то здесь придётся объяснять смысл слова, n00by (ok), 09:27 , 06-Ноя-20, (82) Надо Винде поторопиться с переходом на использование fork , Аноним (36), 13:09 , 05-Ноя-20, (33) –2 // вот ток проблема втом что их лёгкий CreateThread работает даже дольше тем т, Xasd7 (?), 13:24 , 05-Ноя-20, (37) Майкрософт прокляли , Аноним (-), 16:23 , 05-Ноя-20, (51) Ещё 1 причина, чтоб не переходить на Wind у , TastyApple (ok), 16:29 , 05-Ноя-20, (53) // Вряд ли это причина , Аноним (54), 16:32 , 05-Ноя-20, (54) // Тоесть все массово переходим таки , microsoft (?), 17:27 , 05-Ноя-20, (59) // Да, и побыстрее Чтоб Linux окончательно скатился к Хроникам Нарнии , TastyApple (ok), 18:04 , 05-Ноя-20, (64) Так баг починили Так что можно лететь сломя голову , Аноним (71), 20:19 , 05-Ноя-20, (72) Естественно на windows, где же ещё как ни на кривой системе с убогой архитектуро, Аноним (74), 00:10 , 06-Ноя-20, (74) Поэтому на лоре этой новости не будет, Аноним (89), 15:35 , 06-Ноя-20, (89) 1,2,7,10,15,16,33,51,53,74,89

Сообщения

[Сортировка по времени | RSS]

	52. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."	+/–
	Сообщение от Аноним (15), 05-Ноя-20, 16:25
	>чтобы продолжать использовать архитектуру, работавшую с рождения Unix Mesa у тебя тоже в отдельном процессе? >А как быть на платформах, где не поддерживаются разделяемые библиотеки На доработку такие платформы. >Ну и самое главное: в винде и exe, и dll ищутся одинаковым образом, так что в плане безопасности вообще никакой разницы нет. Дллки линкуются на этапе загрузки через таблицу импорта, о безопасности заботится линкер, и он не будет грузить из папки, где файл лежит, в первую очередь, у него другие папки в приоритете. Ручная загрузка через LoadLibrary - это редкий случай, применяется, например, для плагинов. К soшкам всё вышесказанное тоже применимо. А смысл в том, что любой интерфейс, допускающий инъекцию, фундаментально небезопасен. И командная строка - как раз такой интерфейс. Даже если эту багу пофиксили, рядом ещё 100500 могут ждать своего часа. Использование же общих библиотек - лучший по всем параметрам подход.
	Ответить | Правка | Наверх | Cообщить модератору

	55. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."	–2 +/–
	Сообщение от n00by (ok), 05-Ноя-20, 17:13
	Они там не запускают процессы, а вызывают стандартную функцию Go https://golang.org/pkg/os/exec/#Command Внезапно, функция из "кроссплатформенной библиотеки" работает не везде одинаково. Но виноваты разработчики git-lfs и Микрософт, а Гугл умнички.
	Ответить | Правка | Наверх | Cообщить модератору

	65. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."	+1 +/–
	Сообщение от Карабьян (?), 05-Ноя-20, 18:07
	Вот что за бараны Вас минусуют
	Ответить | Правка | Наверх | Cообщить модератору

	67. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."	+/–
	Сообщение от n00by (ok), 05-Ноя-20, 19:26
	Кто-то по старой памяти, кому-то возразить нечего, а для кого-то я непонятно пишу.
	Ответить | Правка | Наверх | Cообщить модератору

	69. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."	+1 +/–
	Сообщение от Аноним (68), 05-Ноя-20, 20:07
	Те, которые понимают, что делает эта стандартная библиотечная функция, и знают, что стандартные библиотечные функции для других языков работают точно так же.
	Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

	83. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."	+/–
	Сообщение от n00by (ok), 06-Ноя-20, 09:47
	> Те, которые понимают, что делает эта стандартная библиотечная функция А "эта" функция, на которую я выше привел ссылку, ничего криминального и не делает. Но Вы же понимаете, и потому скажете, в какой конкретно дело?
	Ответить | Правка | Наверх | Cообщить модератору

	84. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."	+/–
	Сообщение от n00by (ok), 06-Ноя-20, 10:00
	Кстати, тут Вы угадали, уникальный случай. Аргументация "ваша любимая Microsoft" https://www.opennet.ru/openforum/vsluhforumID3/122328.html#76 это как раз уровень барана. То есть он банально не умеет даже по ссылкам на профиль кликать, или заметить, что я "МИКРОсофт" тут пишу. Нафантазировал красную тряпку перед носом и вперёд, гонимый ненавистью к вымышленному врагу.)
	Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

	76. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."	+/–
	Сообщение от Аноним (76), 06-Ноя-20, 09:07
	А ничего, что CWD в PATH по умолчанию в Винде, а виновата, внезапно, конечно же стандартная функция из "кроссплатформенной библиотеки" Go? Которая следует стандартам и соглашениям, принятым в данной ОС. И уж точно не создатели Git LFS и не ваша любимая Microsoft. Вы ещё скажите, что в былых эпидемиях флешечных autorun-вирусов во времена Windows XP были виноваты производители флешек. Ишь ты, съёмные диски повадились производить. А Autorun любой малвари по умолчанию со всех флешек - это грамотная, продуманная архитектура. Такая поделка (Винда) нафиг не нужна, которая пихает CWD в PATH. Не зря экосистема Windows кишит малварью, потому что архитектура ОС представляет все мыслимые и немыслимые средства для распространения вредоносного кода.
	Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

	78. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."	+/–
	Сообщение от n00by (ok), 06-Ноя-20, 09:14
	> А ничего, что CWD в PATH по умолчанию в Винде, а виновата, > внезапно, конечно же стандартная функция из "кроссплатформенной библиотеки" Go? Которая > следует стандартам и соглашениям, принятым в данной ОС. И уж точно > не создатели Git LFS и не ваша любимая Microsoft. Где она следует и как Вы про это узнали? Сами придумали? Или дадите цитату из документации библиотеки, что там "CWD в PATH по умолчанию в Винде"? > Вы ещё скажите, что в былых эпидемиях флешечных autorun-вирусов во времена Windows > XP были виноваты производители флешек. Ишь ты, съёмные диски повадились производить. Вы уже это сказали, приписали мне и начали с вымышленным мной спорить. Успехов в этом не лёгком деле. ;)
	Ответить | Правка | Наверх | Cообщить модератору

	87. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."	+/–
	Сообщение от Аноним (15), 06-Ноя-20, 13:30
	>Вы ещё скажите, что в былых эпидемиях флешечных autorun-вирусов во времена Windows XP были виноваты производители флешек В том числе. На чипе контроллера во флешках есть специальная нога для защиты от записи. Производителям следовало бы эту ногу вывести на переключатель, а не предлагать пользователю это сделать самому кустарно. Но нет, будем экономить 1 цент.
	Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

	58. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."	+/–
	Сообщение от Аноним (68), 05-Ноя-20, 17:21
	> Mesa у тебя тоже в отдельном процессе? И причём здесь mesa? > На доработку такие платформы. О том, что доработка может быть нецелесообразна по объективным причинам, не задумывался? Да и вообще, это забота разработчиков прикладного софта обеспечить совместимость с определённой платформой, а не наоборот. > любой интерфейс, допускающий инъекцию, фундаментально небезопасен В винде любой интерфейс допускает инъекцию, так что нечего стрелки переводить. > Использование же общих библиотек - лучший по всем параметрам подход. Нет. Особенно в случае винды, где нет нормального пакетного менеджера, который обеспечил бы установку библиотеки совместимой версии.
	Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

	62. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."	–2 +/–
	Сообщение от n00by (ok), 05-Ноя-20, 17:36
	> Да и вообще, это забота разработчиков прикладного софта обеспечить совместимость с > определённой платформой, а не наоборот. Вот разработчики и написали за Гугль правильную LookPath(), когда узнали, что документация врёт.
	Ответить | Правка | Наверх | Cообщить модератору

	70. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."	+1 +/–
	Сообщение от Аноним (68), 05-Ноя-20, 20:08
	Где же она врёт-то? Как написано, так и работает.
	Ответить | Правка | Наверх | Cообщить модератору

	80. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."	+/–
	Сообщение от n00by (ok), 06-Ноя-20, 09:16
	> Где же она врёт-то? Как написано, так и работает. Дайте цитату документации Go где написано, что будет запуск из текущего каталога. Вы же не врёте?
	Ответить | Правка | Наверх | Cообщить модератору

	79. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."	+/–
	Сообщение от Аноним (76), 06-Ноя-20, 09:14
	Т.е. по вашему, функция, которая ищет бинарники в PATH, внезапно, не должна искать бинарники в PATH? В Винде CWD входит в PATH, и более того, стоит на первом месте в PATH, как наиболее приоритетный источник загрузки бинарников, так что функция работает корректно, по документации, а главное, соблюдает принятые в Винде стандарты и соглашения, даже если они маразматичные.
	Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

	81. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."	+/–
	Сообщение от n00by (ok), 06-Ноя-20, 09:18
	> Т.е. по вашему, функция, которая ищет бинарники в PATH, внезапно, не должна > искать бинарники в PATH? В Винде CWD входит в PATH В Винде входит, о чём в документации Винды прямо написано. В Go в некоторых случаях входит, в остальных не входит, о чём в документации не написано. Поэтому пользователь "кроссплатформенной" библиотеки должен читать MSDN, а виновата Микрософт.
	Ответить | Правка | Наверх | Cообщить модератору

	88. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."	+/–
	Сообщение от Аноним (15), 06-Ноя-20, 13:38
	>О том, что доработка может быть нецелесообразна по объективным причинам, не задумывался? Значит это мёртвые ненужные платформы. >Да и вообще, это забота разработчиков прикладного софта обеспечить совместимость с определённой платформой, а не наоборот. Это забота разработчика платформы - реализовать mmap. >Нет. Особенно в случае винды, где нет нормального пакетного менеджера, который обеспечил бы установку библиотеки совместимой версии. Есть. Conda называется. И менеджер, и репозиторий. Сам менеджер, если честно, отвратительный - разрабы додумались туда вкорячить SMT-solver для разрешения зависимостей, типа это наиболее правильный путь, ибо задача из класса NP-полных. То что это говно теперь не работает (вернее, посчитав час, выводит вердикт, unsat, и **ись с таким вердиктом теперь сам как хочешь, проще снести всё нахрен и поставить заново), их, видимо, мало беспокоит. Зато репозиторий отличный, многое что есть в линуксовых дистрах, там есть.
	Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема