The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Критическая уязвимость в Git LFS, проявляющаяся на платформе Windows"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критическая уязвимость в Git LFS, проявляющаяся на платформе Windows"  +/
Сообщение от opennews (??), 05-Ноя-20, 11:14 
В Git LFS выявлена критическая уязвимость (CVE-2020-27955),  позволяющая удалённому злоумышленнику выполнить свой код в системе жертвы, при клонировании жертвой специально оформленного репозитория. Проблема проявляется только на платформе Windows и устранена в предложенном несколько часов назад обновлении git-lfs 2.12.1. На Unix системах уязвимость не проявляется...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54029

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +8 +/
Сообщение от Аноним (1), 05-Ноя-20, 11:14 
Эх. Ничему Microsoft история не учит. Потому что в Виндах в принципе ущербно сделан поиск библиотек и исполняемых файлов.

Помнится, ещё давно в Office была уязвимость, когда открываешь лежащие на Samba-шаре доки, Office подтягивал все лежащие DLL'ки (при наличие на шаре) в первую очередь с шары, и уже потом смотрел в системные папки. Так можно было спокойно захватить контроль над любой машиной в сети.

Ответить | Правка | Наверх | Cообщить модератору

4. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +4 +/
Сообщение от m.makhno (ok), 05-Ноя-20, 11:21 
Или ещё один хак. В винде (на 7 точно делал) меняешь c:\windows\system32\sethc.exe на cmd.exe, жмёшь на стартовом экране входа несколько раз подряд клавишу Shift и наслаждаешься эксплуатацией командного интерпретатора с суперадминскими правами ;)
Ответить | Правка | Наверх | Cообщить модератору

12. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  –2 +/
Сообщение от Дегенератор (ok), 05-Ноя-20, 11:57 
И че с правами юзера работает? Или то что ты такой крутой под админом на юнихах не работает?
Ответить | Правка | Наверх | Cообщить модератору

20. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  –1 +/
Сообщение от m.makhno (ok), 05-Ноя-20, 12:20 
> И че с правами юзера работает?

Если знаешь волшебные команды винды, то конечно. Или о чём вопрос?

> Или то что ты такой крутой под админом на юнихах не работает?

Речь разве про них? В юнихах и своих дыр хватает. Не надо идеализировать.

Ответить | Правка | Наверх | Cообщить модератору

23. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +8 +/
Сообщение от nebularia (ok), 05-Ноя-20, 12:30 
> c:\windows\system32\sethc.exe на cmd.exe

Вот это возможно сделать от юзера? Или опять админ сам себя ломает?

Ответить | Правка | Наверх | Cообщить модератору

26. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +2 +/
Сообщение от Карабьян (?), 05-Ноя-20, 12:40 
Невозможно. Это один из способов сделать себе админа при наличии физического доступа к компьютеру (и файловой системе), например, если пароль забыт
Ответить | Правка | Наверх | Cообщить модератору

29. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +3 +/
Сообщение от m.makhno (ok), 05-Ноя-20, 12:42 
Это можно сделать хоть с хацкерской флешки, лишь бы был физический доступ к диску с виндой и умение инструмента работать с NTFS. cmd.exe лежит в той же папочке, если что.
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

36. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +1 +/
Сообщение от Аноним (36), 05-Ноя-20, 13:23 
Флешка с Linux Live и ntfs-3g пойдёт?
Ответить | Правка | Наверх | Cообщить модератору

40. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +4 +/
Сообщение от Ph0zzy (ok), 05-Ноя-20, 13:42 
подойдёт. так и работали.
Ответить | Правка | Наверх | Cообщить модератору

48. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +2 +/
Сообщение от Козлетто (?), 05-Ноя-20, 14:58 
А в чём прикол? Если запустил линукс с флешки хоть винт форматнуть можно, в чём новость?
Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

39. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  –1 +/
Сообщение от m.makhno (ok), 05-Ноя-20, 13:37 
> Или о чём вопрос?

А, понял. Вы, вероятно, про саму подмену. Пишите более чётко. Нет, конечно, нужно хакать извне, то бишь грузиться не с целевой винды.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

22. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +1 +/
Сообщение от Аноним (22), 05-Ноя-20, 12:24 
Это не уязвимость.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

31. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  –1 +/
Сообщение от m.makhno (ok), 05-Ноя-20, 12:44 
А я говорил про уязвимость? Просто пример наглой эксплуатации механизма работы исполняемых файлов в шиндоуз.
Ответить | Правка | Наверх | Cообщить модератору

49. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  –4 +/
Сообщение от AnonPlus (?), 05-Ноя-20, 16:00 
Лол, так и вход в систему без пароля (если юзер его не установил) тоже можно "наглым" назвать.

А для защиты от твоего сценария ещё в 7-ке существовали:
- блокировка сеанса
- шифрование системного раздела (чтобы ты не проделал тот же трюк, сняв накопитель)

Ответить | Правка | Наверх | Cообщить модератору

50. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от m.makhno (ok), 05-Ноя-20, 16:22 
Лол походу ты. Какая нафиг блокировка сеанса, почитай внимательнее то, о чём я писал здесь.
И насчёт шифрования. Я так понимаю, речь о BitLocker. При установке оси об этом речи не было, если делать, то только опосля, и я очень сомневаюсь, что 95% хомячков ей заморачивались со всякими TPM и USB-ключами.
Ответить | Правка | Наверх | Cообщить модератору

44. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +1 +/
Сообщение от Аноним (44), 05-Ноя-20, 14:18 
Напоминает троллейбус из буханки хлеба.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

5. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  –1 +/
Сообщение от Аноним (1), 05-Ноя-20, 11:21 
Но вообще это забавно и подчёркивает то, что даже Microsoft не умеет писать софт под свою же ОС. Что говорить о других несчастных, которым приходится программировать под это чудо с кучей интересных технических решений.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

11. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +2 +/
Сообщение от Аноним (11), 05-Ноя-20, 11:51 
Категорически согласен. Как-то в молодости надо было сделать DLL. Взял толстую книжку по данной теме, немного посмотрел, выбросил её и написал свою.
Ответить | Правка | Наверх | Cообщить модератору

13. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  –3 +/
Сообщение от Дегенератор (ok), 05-Ноя-20, 11:59 
Тебе не нравится? Ты бы был счастлив, если бы СВОЮ не сумел написать? Да что ж с вами, красно..., творится?
Ответить | Правка | Наверх | Cообщить модератору

75. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +1 +/
Сообщение от IRASoldier_registered (ok), 06-Ноя-20, 07:19 
Мания величия, самоощущение _элитарности_ - вот что творится. Причем это не имеет отношения к собственно реальным аспектам программирования под ту или иную ОС. Просто одна группа убеждает себя в том, что использование Linux это _престижное потребление_, тогда как использование Windows таковым не является. Примерно как некоторые носители футболок с логотипом Гуччи считают себя лучше носителей футболок без такого, даже если, внезапно, и те, и другие футболки сделаны из хлопка одинакового качества, выкроены одинаково ровно и сшиты одинаково прочно (что не редкость).



Ответить | Правка | Наверх | Cообщить модератору

30. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  –1 +/
Сообщение от Карабьян (?), 05-Ноя-20, 12:43 
Если привыкли делать это как в юниксах, то компилятор сам заменит .so на .dll
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

32. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от Гудрон_из_саванны (?), 05-Ноя-20, 12:51 
Так тебе и требовалось написать свою не ?

Или ты свою книгу по длл написал ?)

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

25. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от Аноним (25), 05-Ноя-20, 12:39 
Ты не поверишь, но там работают такие же люди как и везде у них нет никаких дополнительных сверхспособностей.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

42. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +1 +/
Сообщение от Денис Попов (?), 05-Ноя-20, 13:57 
С той разницей, что майки могут позволить себе очень дорогой контроль качества, а Вася Пупкин - не может. Поэтому, когда софт пишет Microsoft под свою же ОСь, то качество должно быть на порядок выше того, что накалякал бы Васян.
Ответить | Правка | Наверх | Cообщить модератору

43. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  –2 +/
Сообщение от Michael Shigorinemail (ok), 05-Ноя-20, 14:09 
> очень дорогой контроль качества

В смысле из-под самого Бангалора, а не с той дальней деревни? :D

PS: что-то не слышал, чтоб в Эстонии некрософт мясоботов набирал...

Ответить | Правка | Наверх | Cообщить модератору

46. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +2 +/
Сообщение от Денис Попов (?), 05-Ноя-20, 14:22 
В том то и дело, позволить могут, а нанимают бомжей.
Ответить | Правка | Наверх | Cообщить модератору

56. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от microsoft (?), 05-Ноя-20, 17:17 
Так вам и говорят что они должны нанимать архангелов для провеоки а не бомжей.
Ответить | Правка | Наверх | Cообщить модератору

57. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  –2 +/
Сообщение от n00by (ok), 05-Ноя-20, 17:19 
Ну почему бомжей, Go написала для них конторка денежная, хоть и забесплатно. ;) Перепишут теперь на C#, вот будет радости.
Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

18. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  –2 +/
Сообщение от n00by (ok), 05-Ноя-20, 12:11 
> Эх. Ничему Microsoft история не учит. Потому что в Виндах в принципе
> ущербно сделан поиск библиотек и исполняемых файлов.

Поискал за Вас:

https://github.com/git-lfs/git-lfs/blob/74d5f2397f9abe4834bf...

https://github.com/git-lfs/git-lfs/blob/74d5f2397f9abe4834bf...

Может чему научитесь.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

41. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  –1 +/
Сообщение от Lex (??), 05-Ноя-20, 13:48 
Кое-чему они все-таки научены: проекты, которые в самом ближайшем будущем не планируется "открывать", они в принципе не хранят на гитхабе ввиду его дырявости
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

86. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от еман (?), 06-Ноя-20, 11:06 
а в линуксе, где путь /usr/lib хардкодится в экзишники и библиотеки при компиляции - нормально?
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +2 +/
Сообщение от m.makhno (ok), 05-Ноя-20, 11:15 
Не читаю астрологических прогнозов, но, видимо, был объявлен %промежуток времени% дыр в экосистеме GitHub.
Ответить | Правка | Наверх | Cообщить модератору

3. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +2 +/
Сообщение от Аноним (-), 05-Ноя-20, 11:18 
Время пиара, которое мы запомним ни как повальную блокировку и удаление неугодных репозиториев - а страдание нивинного мелкософта атакуемого злобными дырами.
Ответить | Правка | Наверх | Cообщить модератору

6. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  –2 +/
Сообщение от Qwerty (??), 05-Ноя-20, 11:22 
Ну а что, тема хайповая, всегда найдётся толпа любителей позлорадствовать.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

8. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +4 +/
Сообщение от Xasd7 (?), 05-Ноя-20, 11:42 
а чего бы не позлорадствовать :-) .

вся коллекция архитктурный проблем Windows на мой взгляд возникла из-за следущего принятого подхода:

1. все проблемы рашаются наиболее первым пришедшим простым способом, просто вставляем подпорку. ни каких огромных перепродумываний и переделываний.

2. соблюдаем обратную совместимость над тем что уже было сделано, не важно насколько оно выглядет убогим. копим это и приумножаем.

3. главная в софте -- это красивое GUI, оттестированное QA во множестве сценариев щёлканья мышкой во все места. то что под капотом -- дело вторичное.

------------------------------------------------------------

такой подход приводит как раз к тому что платформа сначала становится НЕдружилёбной к обычному разработчику, который не понимает почему он стокнлуся с куском нелогичной хрени.

затем платформа становится НЕдружелюбной уже и к собственным разработчикам. которые вроде как более квалифицированны и не пугаются простых сложностей.

а теперь вопрос -- а почему на этим бы и не глумиться? :-) ну сами виноваты -- сами получите порцию надсмеханий :-)

Ответить | Правка | Наверх | Cообщить модератору

9. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от Аноним (1), 05-Ноя-20, 11:48 
Это было бы злорадство, если бы это реально была ошибка в программе, а не ущербным дизайном ОС. Загружать по умолчанию бинарники и библиотеки из CWD - это верх маразма. Если CWD не находится в PATH, конечно. Это не норм, и это не то, что должен проверять рядовой разработчик. А для осознанной подмены exe/dll, когда человек знает, что он делает - должны быть отдельные механизмы, вроде того же LD_PRELOAD в Линуксах.

И отдельного внимания стоит то, что такие ошибки регулярно допускают сотрудники Microsoft. Сначала с Office, теперь с Git LFS. И это даже не из-за некомпетентности сотрудников, а из-за broken-by-design механизма поиска библиотек и бинарников в ОС, т.к. у нормального человека не уложится в голове, что ОС пойдёт в CWD искать бинарник (который не зовётся явным образом из CWD).

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

21. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  –1 +/
Сообщение от ms (??), 05-Ноя-20, 12:22 
И сколько у вас уже было _local_root_ а не "запуск не того гит от обычного юзера" из-за дыр в этом прекрасном "отдельном механизме", напомнить?

> И отдельного внимания стоит то, что такие ошибки регулярно допускают сотрудники Microsoft.

обычный индус, кое-как освоивший игогошечку и прошедший собеседование. То что у него в визитке значится microsoft - ни разу не делает его специалистом по windows. Он ее в своей Калькутте и не видел может.

Это именно из-за некомпетентности сотрудников. Ну надо же, кто бы мог подумать - тут вам не линюпс, у нормального человека с образованием "рядом с гуру на улице видел экран через три чужих плеча" 'в голове не укладывается' что это другая система. Зато они дешевые!

Ответить | Правка | Наверх | Cообщить модератору

27. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от Ivan_83 (ok), 05-Ноя-20, 12:40 
Вы конечно правы, но нужно было это всё делать лет 50 назад.

Сейчас арихитектура такая, что каждая прога может таскать с собой свои dll, и вспомогательные утилиты. Поэтому часто лучше загружать dll из той же папки где и прога.
Аналогично с запуском.

Когда то была рекомендация кидать все dll в /system, но это привело к dll hell: когда разные проги были скомпилены с разными версиями одной dll, и каждая их кидала в /system, в итоге работала или одна прога или другая.
Это пофиксили как раз тем что dll порекомендовали кидать в папку с прогой, а потом ещё какой то мапинг/манифесты добавили, но тут я уже соскочил с венды и не вникал.

Если кратко то сейчас с этим уже сделать ничего нельзя - софт просто перестанет работать.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

35. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +3 +/
Сообщение от Xasd7 (?), 05-Ноя-20, 13:20 
> Сейчас арихитектура такая, что каждая прога может таскать с собой свои dll, и вспомогательные утилиты

вот только "с собой" это по смыслу НЕ должно быть синонимом "current work directory".

можно было бы придумать чтобы исполняемый файл линковал бы библиотеки по абсолютному пути. или по относительному пути относительно расположению самого себя. или ещё что-то.. но использование CWD это как нассать зимой себе в штаны -- сначало тепло и хорошо, но потом оно застыват на морозе

Ответить | Правка | Наверх | Cообщить модератору

60. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +1 +/
Сообщение от n00by (ok), 05-Ноя-20, 17:29 
>> Сейчас арихитектура такая, что каждая прога может таскать с собой свои dll, и вспомогательные утилиты
> вот только "с собой" это по смыслу НЕ должно быть синонимом "current
> work directory".

Понимаю, удобный случай позлорадствовать, но где вы все (и Вы в частности) увидели "current work directory"?

func LookPath(file string) (string, error)

LookPath searches for an executable named file in the directories named by the PATH environment variable. If file contains a slash, it is tried directly and the PATH is not consulted. The result may be an absolute path or a path relative to the current directory.
https://golang.org/pkg/os/exec/#LookPath

И при чём тут Микрософт?

Ну а че, злорадствовать, так злорадствовать? ;)


Ответить | Правка | Наверх | Cообщить модератору

61. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от M (?), 05-Ноя-20, 17:35 
Microsoft купила GitHub, а вместе с ним ему досталась и поделка Git LFS. Так что эти уязвимости - теперь Микрософтовские. И (ни много, ни мало) Windows-эксклюзив.
Ответить | Правка | Наверх | Cообщить модератору

63. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +1 +/
Сообщение от n00by (ok), 05-Ноя-20, 17:40 
Для тех учителей, кто даже после цитат и прямых намёков не понял -- "уязвимость" в библиотеке Go.
Ответить | Правка | Наверх | Cообщить модератору

68. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от Аноним (68), 05-Ноя-20, 20:02 
Текущий каталог в PATH в винде по умолчанию, но виновата библиотека? Неожиданный ход.
Ответить | Правка | Наверх | Cообщить модератору

77. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от n00by (ok), 06-Ноя-20, 09:09 
> Текущий каталог в PATH в винде по умолчанию

В MSDN поведение документировано? Документировано. Разработчики под ту систему документацию читают и проблем с её кривым дизайном не имеют.

> но виновата библиотека?

"отличная кроссплатформенная совместимость." https://golangs.org/go-beginning

В документации к библиотеке поведение не документировано. Поведение различается меж платформами. Разработчики честно прочли документацию и свою часть контракта выполнили, на своём Макбуке проверили и пошли спать спокойно.

> Неожиданный
> ход.

Да вполне ожидаемо, что мало кто посмотреть патчи удосужился, не говоря о подумать. Вот и спрашивают банальщину.

Ответить | Правка | Наверх | Cообщить модератору

28. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  –1 +/
Сообщение от Аноним (25), 05-Ноя-20, 12:40 
А что Майки блочат все неугодное направо и налево хотя с dmca хоть без. Как раз удобное время накинуть на Майков.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

91. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от Аноним (-), 07-Ноя-20, 12:05 
> Майки

Это тебе твой господин запретил называть мелкософт неприятными для него словами ?

Ответить | Правка | Наверх | Cообщить модератору

7. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  –3 +/
Сообщение от Иваня (?), 05-Ноя-20, 11:29 
Windows всегда была дыркой, совсем не удивительно, что уязвимости продолжают находить.
Ответить | Правка | Наверх | Cообщить модератору

73. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от Аноним (73), 05-Ноя-20, 20:39 
То ли дело кocтылинупc, в котором ту же Dirty Cow видели почти 10 лет, но принципиально не закрывали.
Ответить | Правка | Наверх | Cообщить модератору

92. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от Аноним (-), 07-Ноя-20, 12:07 
Не видели - а держали в секрете. Копрорации кстати это делали.
Ответить | Правка | Наверх | Cообщить модератору

10. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  –2 +/
Сообщение от Аноним (10), 05-Ноя-20, 11:49 
>Git LFS

Чего только народ не придумывает, лишь бы не юзать нормальные системы контроля версий.

Ответить | Правка | Наверх | Cообщить модератору

14. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от morruth (?), 05-Ноя-20, 12:00 
Это какие?
Ответить | Правка | Наверх | Cообщить модератору

17. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от Аноним (17), 05-Ноя-20, 12:06 
Ради научного интереса, что вы считаете нормальной системой контроля?
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

19. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +7 +/
Сообщение от ms (??), 05-Ноя-20, 12:15 
Новая папка(244) конечно же!

Ответить | Правка | Наверх | Cообщить модератору

24. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  –2 +/
Сообщение от Аноним (10), 05-Ноя-20, 12:34 
SVN, Hg к примеру
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

34. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от Аноним (36), 05-Ноя-20, 13:12 
>SVN

В 2020-м использовать нераспределённые системы контроля версий такое себе.

Ответить | Правка | Наверх | Cообщить модератору

66. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +1 +/
Сообщение от Козлетто (?), 05-Ноя-20, 18:30 
А чего вы хотели? Распределённость и частичный чекаут больших файлов взаимно противоречивые понятия. А эти ЛФСы и т.д. это жуткие костыли, которые кстати и являются классическим централизованным репозиторием.
Ответить | Правка | Наверх | Cообщить модератору

45. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +2 +/
Сообщение от Аноним (68), 05-Ноя-20, 14:21 
> SVN, Hg к примеру

SVN — не смешно.
Hg — ну да, конечно, там не нужен LFS. Там ведь есть свой костыль, который делает в точности то же самое: https://www.mercurial-scm.org/wiki/LargefilesExtension
Потому что, ой, у нас проблемки с большими файлами: https://www.mercurial-scm.org/wiki/HandlingLargeFiles

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

15. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  –2 +/
Сообщение от Аноним (15), 05-Ноя-20, 12:01 
>для запуска нового процесса git используется вызов ExecCommand(), но не указывается полный путь к исполняемому файлу git

А не надо запускать процессы. Нужно импортировать dllки. Если разрабы Git против редизайна гита с прицелом на незапуск процессов - то нафиг разрабов Git, у GitHub inc. хватит финансирования MS, чтобы либо форкнуть небезопасный git, либо воссоздать с нуля на растишке, и потушить оригинал.

Ответить | Правка | Наверх | Cообщить модератору

38. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +1 +/
Сообщение от Xasd7 (?), 05-Ноя-20, 13:31 
> либо воссоздать с нуля на растишке, и потушить оригинал.

не так.

правильная фраза такая -- " либо воссоздать с нуля на растишке, и переорать оригинал."

Ответить | Правка | Наверх | Cообщить модератору

47. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +2 +/
Сообщение от Аноним (68), 05-Ноя-20, 14:28 
А теперь объясни, с какой радости разрабы git должны переделывать всё так, как принято в винде, вместо того, чтобы продолжать использовать архитектуру, работавшую с рождения Unix? А как быть на платформах, где не поддерживаются разделяемые библиотеки, ты подумал? Ну и самое главное: в винде и exe, и dll ищутся одинаковым образом, так что в плане безопасности вообще никакой разницы нет.
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

52. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от Аноним (15), 05-Ноя-20, 16:25 
>чтобы продолжать использовать архитектуру, работавшую с рождения Unix

Mesa у тебя тоже в отдельном процессе?

>А как быть на платформах, где не поддерживаются разделяемые библиотеки

На доработку такие платформы.

>Ну и самое главное: в винде и exe, и dll ищутся одинаковым образом, так что в плане безопасности вообще никакой разницы нет.

Дллки линкуются на этапе загрузки через таблицу импорта, о безопасности заботится линкер, и он не будет грузить из папки, где файл лежит, в первую очередь, у него другие папки в приоритете. Ручная загрузка через LoadLibrary - это редкий случай, применяется, например, для плагинов. К soшкам всё вышесказанное тоже применимо.

А смысл в том, что любой интерфейс, допускающий инъекцию, фундаментально небезопасен. И командная строка - как раз такой интерфейс. Даже если эту багу пофиксили, рядом ещё 100500 могут ждать своего часа. Использование же общих библиотек - лучший по всем параметрам подход.

Ответить | Правка | Наверх | Cообщить модератору

55. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  –2 +/
Сообщение от n00by (ok), 05-Ноя-20, 17:13 
Они там не запускают процессы, а вызывают стандартную функцию Go https://golang.org/pkg/os/exec/#Command
Внезапно, функция из "кроссплатформенной библиотеки" работает не везде одинаково. Но виноваты разработчики git-lfs и Микрософт, а Гугл умнички.

Ответить | Правка | Наверх | Cообщить модератору

65. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +1 +/
Сообщение от Карабьян (?), 05-Ноя-20, 18:07 
Вот что за бараны Вас минусуют
Ответить | Правка | Наверх | Cообщить модератору

67. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от n00by (ok), 05-Ноя-20, 19:26 
Кто-то по старой памяти, кому-то возразить нечего, а для кого-то я непонятно пишу.
Ответить | Правка | Наверх | Cообщить модератору

69. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +1 +/
Сообщение от Аноним (68), 05-Ноя-20, 20:07 
Те, которые понимают, что делает эта стандартная библиотечная функция, и знают, что стандартные библиотечные функции для других языков работают точно так же.
Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

83. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от n00by (ok), 06-Ноя-20, 09:47 
> Те, которые понимают, что делает эта стандартная библиотечная функция

А "эта" функция, на которую я выше привел ссылку, ничего криминального и не делает. Но Вы же понимаете, и потому скажете, в какой конкретно дело?

Ответить | Правка | Наверх | Cообщить модератору

84. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от n00by (ok), 06-Ноя-20, 10:00 
Кстати, тут Вы угадали, уникальный случай. Аргументация "ваша любимая Microsoft" https://www.opennet.ru/openforum/vsluhforumID3/122328.html#76
это как раз уровень барана. То есть он банально не умеет даже по ссылкам на профиль кликать, или заметить, что я "МИКРОсофт" тут пишу. Нафантазировал красную тряпку перед носом и вперёд, гонимый ненавистью к вымышленному врагу.)
Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

76. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от Аноним (76), 06-Ноя-20, 09:07 
А ничего, что CWD в PATH по умолчанию в Винде, а виновата, внезапно, конечно же стандартная функция из "кроссплатформенной библиотеки" Go? Которая следует стандартам и соглашениям, принятым в данной ОС. И уж точно не создатели Git LFS и не ваша любимая Microsoft.

Вы ещё скажите, что в былых эпидемиях флешечных autorun-вирусов во времена Windows XP были виноваты производители флешек. Ишь ты, съёмные диски повадились производить. А Autorun любой малвари по умолчанию со всех флешек - это грамотная, продуманная архитектура.

Такая поделка (Винда) нафиг не нужна, которая пихает CWD в PATH. Не зря экосистема Windows кишит малварью, потому что архитектура ОС представляет все мыслимые и немыслимые средства для распространения вредоносного кода.

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

78. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от n00by (ok), 06-Ноя-20, 09:14 
> А ничего, что CWD в PATH по умолчанию в Винде, а виновата,
> внезапно, конечно же стандартная функция из "кроссплатформенной библиотеки" Go? Которая
> следует стандартам и соглашениям, принятым в данной ОС. И уж точно
> не создатели Git LFS и не ваша любимая Microsoft.

Где она следует и как Вы про это узнали? Сами придумали? Или дадите цитату из документации библиотеки, что там "CWD в PATH по умолчанию в Винде"?

> Вы ещё скажите, что в былых эпидемиях флешечных autorun-вирусов во времена Windows
> XP были виноваты производители флешек. Ишь ты, съёмные диски повадились производить.

Вы уже это сказали, приписали мне и начали с вымышленным мной спорить. Успехов в этом не лёгком деле. ;)

Ответить | Правка | Наверх | Cообщить модератору

87. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от Аноним (15), 06-Ноя-20, 13:30 
>Вы ещё скажите, что в былых эпидемиях флешечных autorun-вирусов во времена Windows XP были виноваты производители флешек

В том числе. На чипе контроллера во флешках есть специальная нога для защиты от записи. Производителям следовало бы эту ногу вывести на переключатель, а не предлагать пользователю это сделать самому кустарно. Но нет, будем экономить 1 цент.

Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

58. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от Аноним (68), 05-Ноя-20, 17:21 
> Mesa у тебя тоже в отдельном процессе?

И причём здесь mesa?

> На доработку такие платформы.

О том, что доработка может быть нецелесообразна по объективным причинам, не задумывался? Да и вообще, это забота разработчиков прикладного софта обеспечить совместимость с определённой платформой, а не наоборот.

> любой интерфейс, допускающий инъекцию, фундаментально небезопасен

В винде любой интерфейс допускает инъекцию, так что нечего стрелки переводить.

> Использование же общих библиотек - лучший по всем параметрам подход.

Нет. Особенно в случае винды, где нет нормального пакетного менеджера, который обеспечил бы установку библиотеки совместимой версии.

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

62. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  –2 +/
Сообщение от n00by (ok), 05-Ноя-20, 17:36 
> Да и вообще, это забота разработчиков прикладного софта обеспечить совместимость с
> определённой платформой, а не наоборот.

Вот разработчики и написали за Гугль правильную LookPath(), когда узнали, что документация врёт.

Ответить | Правка | Наверх | Cообщить модератору

70. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +1 +/
Сообщение от Аноним (68), 05-Ноя-20, 20:08 
Где же она врёт-то? Как написано, так и работает.
Ответить | Правка | Наверх | Cообщить модератору

80. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от n00by (ok), 06-Ноя-20, 09:16 
> Где же она врёт-то? Как написано, так и работает.

Дайте цитату документации Go где написано, что будет запуск из текущего каталога. Вы же не врёте?

Ответить | Правка | Наверх | Cообщить модератору

79. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от Аноним (76), 06-Ноя-20, 09:14 
Т.е. по вашему, функция, которая ищет бинарники в PATH, внезапно, не должна искать бинарники в PATH? В Винде CWD входит в PATH, и более того, стоит на первом месте в PATH, как наиболее приоритетный источник загрузки бинарников, так что функция работает корректно, по документации, а главное, соблюдает принятые в Винде стандарты и соглашения, даже если они маразматичные.
Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

81. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от n00by (ok), 06-Ноя-20, 09:18 
> Т.е. по вашему, функция, которая ищет бинарники в PATH, внезапно, не должна
> искать бинарники в PATH? В Винде CWD входит в PATH

В Винде входит, о чём в документации Винды прямо написано. В Go в некоторых случаях входит, в остальных не входит, о чём в документации не написано. Поэтому пользователь "кроссплатформенной" библиотеки должен читать MSDN, а виновата Микрософт.

Ответить | Правка | Наверх | Cообщить модератору

88. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от Аноним (15), 06-Ноя-20, 13:38 
>О том, что доработка может быть нецелесообразна по объективным причинам, не задумывался?

Значит это мёртвые ненужные платформы.

>Да и вообще, это забота разработчиков прикладного софта обеспечить совместимость с определённой платформой, а не наоборот.

Это забота разработчика платформы - реализовать mmap.

>Нет. Особенно в случае винды, где нет нормального пакетного менеджера, который обеспечил бы установку библиотеки совместимой версии.

Есть. Conda называется. И менеджер, и репозиторий. Сам менеджер, если честно, отвратительный - разрабы додумались туда вкорячить SMT-solver для разрешения зависимостей, типа это наиболее правильный путь, ибо задача из класса NP-полных. То что это говно теперь не работает (вернее, посчитав час, выводит вердикт, unsat, и **ись с таким вердиктом теперь сам как хочешь, проще снести всё нахрен и поставить заново), их, видимо, мало беспокоит. Зато репозиторий отличный, многое что есть в линуксовых дистрах, там есть.

Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

16. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +4 +/
Сообщение от n00by (ok), 05-Ноя-20, 12:04 
Примечательно, что в описании функции Win32 API CreateProcessW() о подобном риске сказано https://docs.microsoft.com/en-us/windows/win32/api/processth...

Но разработчики документацию не читали, вместо этого использовали "безопасный язык":


subprocess/subprocess_windows.go
@@ -10,6 +10,7 @@ import (
// ExecCommand is a small platform specific wrapper around os/exec.Command
func ExecCommand(name string, arg ...string) *Cmd {
    cmd := exec.Command(name, arg...)
+    cmd.Path, _ = LookPath(name)
    cmd.SysProcAttr = &syscall.SysProcAttr{HideWindow: true}
    cmd.Env = env
    return newCmd(cmd)

Ответить | Правка | Наверх | Cообщить модератору

71. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от Аноним (71), 05-Ноя-20, 20:18 
В описании говорится о другом риске. О риске запуска другого exe если путь содержит пробел.
Ответить | Правка | Наверх | Cообщить модератору

82. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от n00by (ok), 06-Ноя-20, 09:27 
> В описании говорится о другом риске.

Простите, но я даже и не думал, что кому-то здесь придётся объяснять смысл слова "подобный".

> О риске запуска другого exe если
> путь содержит пробел.

Потому что такое поведение не для всех очевидно. То что обсуждается в новости, для любого тамошнего разработчика очевидно, так же как для тутошних очевиден смысл ./. Если бы накосячившие работали с API системы, это был бы их косяк. Но они поверили в кроссплатформенность и взяли "безопасную" прослойку, которая данный случай не предусмотрела.

Ответить | Правка | Наверх | Cообщить модератору

33. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  –2 +/
Сообщение от Аноним (36), 05-Ноя-20, 13:09 
Надо Винде поторопиться с переходом на использование fork(). ;)
Ответить | Правка | Наверх | Cообщить модератору

37. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от Xasd7 (?), 05-Ноя-20, 13:24 
вот ток проблема втом что их "лёгкий" CreateThread() работает даже дольше тем "тяжёлый" fork() в linux.
Ответить | Правка | Наверх | Cообщить модератору

51. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от Аноним (-), 05-Ноя-20, 16:23 
Майкрософт прокляли!
Ответить | Правка | Наверх | Cообщить модератору

53. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от TastyApple (ok), 05-Ноя-20, 16:29 
Ещё 1 причина, чтоб не переходить на Wind'у.
Ответить | Правка | Наверх | Cообщить модератору

54. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от Аноним (54), 05-Ноя-20, 16:32 
Вряд ли это причина.
Ответить | Правка | Наверх | Cообщить модератору

59. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от microsoft (?), 05-Ноя-20, 17:27 
Тоесть все массово переходим таки?
Ответить | Правка | Наверх | Cообщить модератору

64. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от TastyApple (ok), 05-Ноя-20, 18:04 
> Тоесть все массово переходим таки?

Да, и побыстрее. Чтоб Linux окончательно скатился к "Хроникам Нарнии" :)

Ответить | Правка | Наверх | Cообщить модератору

72. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от Аноним (71), 05-Ноя-20, 20:19 
Так баг починили. Так что можно лететь сломя голову.
Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

74. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от Аноним (74), 06-Ноя-20, 00:10 
Естественно на windows, где же ещё как ни на кривой системе с убогой архитектурой.
Ответить | Правка | Наверх | Cообщить модератору

89. "Критическая уязвимость в Git LFS, проявляющаяся на платформе..."  +/
Сообщение от Аноним (89), 06-Ноя-20, 15:35 
> Проблема проявляется только на платформе Windows

Поэтому на лоре этой новости не будет

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру