URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 118883
[ Назад ]
Исходное сообщение
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено opennews , 31-Окт-19 10:11 
Из-за ошибки при организации кэширования в системе доставки контента, при попытке загрузки одной из сборок опубликованного позавчера корректирующего выпуска Python 3.5.8  распространялась предварительная сборка, не содержащая всех исправлений. Проблема затронула только архив Python-3.5.8.tar.xz, сборка Python-3.5.8.tgz распространялась корректно...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=51784

Содержание
Сообщения в этом обсуждении
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Аноним , 31-Окт-19 10:11 
Не успел Гвидо выйти на пенчию, и уже бардак.
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Аноним , 31-Окт-19 10:40 
Милостиво дозволяю поднять ему пенсионный возраст персонально до 90 лет!
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено SOska , 01-Ноя-19 08:52 
Что ты такое что бы что то кому то позволять
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено А это тоже , 04-Ноя-19 07:49 
Правильно, или всем или никому
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено fx , 07-Ноя-19 13:51 
что какое бы, что какое то, кому какое то?
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Аноним , 31-Окт-19 11:23 
Он уже год как ни ногой в питон-разработку. Видел, что там творится.
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено fi2fi , 31-Окт-19 11:23 
скорей кто то провел атаку CDN, чисто из научного интереса )))))
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Аноним , 31-Окт-19 13:04 
Скорее кто-то (возможно какая-то корпорация через подставных лиц) заплатил, за атаку на какую-то известную ему инфраструктуру. Возможно просто дал на лапу одному из админов, но сути это не меняет.
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено мамкин ИБэксперт , 31-Окт-19 10:31 
>контрольной сумме (MD5 4464517ed6044bca4fc78ea9ed086c36)

MD5 небезопасен

"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Аноним , 31-Окт-19 10:33 
Даешь SHA512!
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Аноним , 31-Окт-19 10:37 
Если кто-то подобрал коллизию и выложил свой вариант Питончика с тем же MD5, то ему самое время занять пост Гвидо :)
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено SOska , 01-Ноя-19 08:59 
Так мд5 на практике безопасна, все врали?
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Аноним84701 , 01-Ноя-19 17:47 
> Так мд5 на практике безопасна, все врали?

Не, то специально объявляли для хвостатых покорителей WWW-джунглей, использовавших микроскоп вместо молотка, а MD5 для "шифрования" паролей.

А для безопасТности там предлагают делать gpg --verify.


"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Аноним , 31-Окт-19 10:39 
Будьте гетеросексуальными белыми мужчинами! Пользуйте git, или хотя бы sudo apt-get install!
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Andrey Mitrofanov_N0 , 31-Окт-19 10:41 
> Будьте гетеросексуальными белыми мужчинами! Пользуйте git, или хотя бы

Для бинарных .tar.xz сборок?  Вы, мужчина, не из Микрософт Гитхаба к нам сюда?

"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Аноним , 31-Окт-19 11:00 
Ты не осилил git archive?
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено neAnonim , 31-Окт-19 11:10 
А ты?
https://github.com/git/git/commit/ee27ca4a781844ddbf556ec64d...

Это должно быть включено и не все так однозначно или ты с левых зеркал качаешь? Гораздо больше телодвижений, чем просто скачать xz.

"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Аноним , 31-Окт-19 14:17 
> Local requests continue to use get_sha1, and are not
> restricted at all.
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено neAnonim , 31-Окт-19 11:04 
1) в apt-get точно как же может быть закеширована неверная версия. Ошибка на стороне CDN
2) архив весит ~20 mb. git...  весит сильно больше, для проекта как python это нецелесообразно. И после скачивания это еще нужно распространить.

Ни чувства юмора, ни мозгов.

"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Аноним , 31-Окт-19 11:23 
1. Не может, т.к. apt проверит конрольную сумму и рванёт.
2. Разработчики без git не бывают. Хотя, я не приветствую использование git для распространения бинарников.
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено neAnonim , 31-Окт-19 11:50 
Я имел в виду что полный git-tree может весить много и возможность взять только срез может быть заблокирована или невозможна.
(ps Я не знаю сколько весит и мне лень смотреть)
(apt, pkg, итд. Как по мне созданы для этого)
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено rshadow , 31-Окт-19 13:07 
git clone --depth 1 ...
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено neAnonim , 31-Окт-19 17:57 
... не знал. Ок теперь я дочитаю документацию по git.
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Аноним , 01-Ноя-19 19:57 
хаха, дочитаю... удачи.
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено iPony129412 , 31-Окт-19 11:52 
Сейчас модно так https://www.microsoft.com/en-us/p/python-38/9mssztt1n39l?act...
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Anonymoustus , 31-Окт-19 16:22 
https://ru.wiktionary.org/wiki/пользовать
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Аноним , 31-Окт-19 10:43 
>В отличие от финального релиза предварительная версия не включала исправление уязвимости CVE-2019-16935 в коде сервера XML-RPC.
>Из-за ошибки
>ошибки

Всё, лишь бы не признавать, что CDNы либо сделают всё, что им скажет государство, либо будут заблокированы и вылетят с рынка.

"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Аноним , 31-Окт-19 11:01 
> всё, что им скажет государство

Не государство, а рептилоиды.

"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Аноним , 31-Окт-19 15:00 
>> всё, что им скажет государство
>
> Не государство, а рептилоиды.

А кто возглавляет все государства?

"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено neAnonim , 31-Окт-19 11:12 
Отправляйся в атаку на CDN, спаси нас.
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Аноним , 31-Окт-19 12:52 
Всегда считал людей что выкладывают различные sha суммы, и gpg подписи и при этом назойливо советуют проверить то что вы скачали на соответствие идиотами.

Проверять нужно то что лежит на сервере на соответствие запакованный архивов с эталонами (если таковые вообще были, судя по фейспалму их не было, а автоматизация конечно на говнокодинге питон скриптах).

И не обязательно каждый файл в конце то концов, а достаточно tar. Хотя я подозреваю что ни у кого нет эталонных архивов, а девляпсы все так заавтоматизировали в своих доцкерах что там же и подпись gpg архивов (с закешированным ключом и без ввода пароля), там же и оригиналы (ошибочные!) по которым система и лепила sha суммы и публиковала их на сайте.

Но они конечно не виноваты, ведь такое в порядке вещей, и не нужно ломать их питонячий мирок, а то ущемление прав все такое. Толи ещё будет.

"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Аноним84701 , 31-Окт-19 13:32 
> Всегда считал людей что выкладывают различные sha суммы, и gpg подписи и при этом назойливо советуют проверить то что вы скачали на соответствие идиотами.
> Проверять нужно то что лежит на сервере на соответствие запакованный архивов с эталонами

А сперва почитать новость и только лишь потом комментировать – уже не модно? o_O

https://www.mail-archive.com/python-announce-list@pytho...
> Due to awkward CDN caching, some users who downloaded the source code tarballs of Python 3.5.8 got a preliminary version
> As best as we can tell, this only affects the .xz release; there are no known instances of users downloading an incorrect version of the .tgz file.

...
> It's easy to determine this for yourself.  The file size (15,382,140 bytes) and MD5 checksum

Т.е. CDN отгружало (причина в этом контексте не важна) "неправильный" файл, что достаточно просто определялось сверкой суммы с опубликованной на оф. сайте.

> (если таковые вообще были, судя по фейспалму их не было, а автоматизация конечно на говнокодинге питон скриптах).

Смотрим в оригинал
>  If you downloaded "Python-3.5.8.tar.xz" during the first twelve hours of its release, you might be affected.  It's easy to determine this for yourself.  The file size (15,382,140 bytes) and MD5 checksum (4464517ed6044bca4fc78ea9ed086c36) published on the release page have always matched the correct version.

Что-то в анонимном анализе опять не сходится.


> Хотя я подозреваю что ни у кого нет эталонных архивов, а девляпсы все так заавтоматизировали в своих доцкерах что там же и подпись gpg архивов (с закешированным ключом и без ввода пароля), там
> же и оригиналы (ошибочные!) по которым система и лепила sha суммы и публиковала их на сайте.

Оригинал:
> (повторно, специально для анонима) The file size (15,382,140 bytes) and MD5 checksum (4464517ed6044bca4fc78ea9ed086c36) published on the release page have always matched the correct version.
> Also, the GPG signature file will only report a "Good signature" for the correct .xz file (using "gpg --verify").

Ох уж эти анонимные аналитики-судьи-подозреватели.

"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Аноним , 31-Окт-19 14:43 
Ты же понимаешь что он залил исправленный файл архив с таким же именем как и старый, люди не заметят и так сойдёт? Иначе никакого "cdn caching" не могло бы быть. Иными словами архив релиза из устаревших сорцов. Нельзя загрузить пистон 358 RC/beta/gamma по ссылке пистона 358 release физически никак, если только мистер кривые ручки сам не накосячил, признаваться конечно стыдно.
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Аноним84701 , 31-Окт-19 15:10 
> Ты же понимаешь что он залил исправленный файл архив с таким же
> именем как и старый, люди не заметят и так сойдёт? Иначе
> никакого "cdn caching" не могло бы быть.

Ты же понимаешь, что вот это и "аналитика" в #22 – две большущие разницы?

"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Аноним , 01-Ноя-19 20:00 
пох, ты что ли? пиши под собственным ником, чтоб твои посты было проще вырезать.
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Аноним , 31-Окт-19 12:59 
What should you do?  It's up to you.

* If you and your users aren't using the XMLRPC library built in to
   Python, you don't need to worry about which version of 3.5.8 you
   downloaded.
* If you downloaded the .tgz tarball or the Git repo, you already have
   the correct version.
* If you downloaded the xz file and want to make sure you have the
   fix, check the MD5 sum, and if it's wrong download a fresh copy (and
   make sure that one matches the known good MD5 sum!).

To smooth over this whole sordid mess, I plan to make a 3.5.9 release in the next day or so.  It'll be identical to the 3.5.8 release; its only purpose is to ensure that all users have the same updated source code, including the fix for #38243.


Sorry for the mess, everybody,


//arry/


Господи каким же ЧСВ от человека пахнет, даже через океаны смердит. Обпоносился на отлично виноват во всем CDN.

"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Аноним , 31-Окт-19 13:01 
> It'll be identical to the 3.5.8 release

Типичный пример drag&drop developers, вот так он и заливал файл со своего макбука, запутался в finder, не удобно им пользоваться понимаю.

"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Аноним , 31-Окт-19 13:09 
А что ему теперь на пенсию уходить раз Акелла промахнулся? На то и сервер чтобы его ронять. На то и обновления чтобы в них косячить.
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Аноним , 01-Ноя-19 20:05 
Release Management workflow mutafaka, do you have it?!!!
как можно было кривую бэту выпустить в архиве с тем же названием что и релиз? как?!!!
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено виндотролль , 31-Окт-19 16:02 
Небось в скриптах для сборки (написанных, конечно же, на питоне) где-то пролетела незамеченной ошибка
list object has no attribute 'latestTag'

А так да, хороший язык, и отступы интересные.

"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено некто_c_другой_версии , 01-Ноя-19 08:47 
а кто-нибудь собирает subj из исходников?
На нашей планете таких очень мало.
А на вашей?
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Аноним , 01-Ноя-19 20:11 
примерно 10% (sourcebased) от 2% (linux/bsd/etc) пользователей ПК, хотя эту сумму тоже можно на 3 разделить, т.к. нет смысла каждую минорную версию питона собирать. В абсолютных значениях получается приличная цифра.
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Аноним , 01-Ноя-19 20:21 
т.е. более миллиона человек, по грубым прикидкам. хотя, если учитывать автоматизацию и всякие CI инфраструктуры, цыфра непосредственно случаев сборки может быть на порядки выше.
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено некто_c_другой_версии , 01-Ноя-19 08:47 
а кто-нибудь собирает subj из исходников?
На нашей планете таких очень мало.
А на вашей?
"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено Онаним , 01-Ноя-19 17:20 
> В отличие от финального релиза, предварительная версия не включала исправление уязвимости CVE-2019-16935

Тут не хватает "совершенно случайно".

"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Отправлено cutlass , 02-Ноя-19 01:17 
Вот до чего отступы доводят.