https://m.opennet.me/openforum/vsluhforumID3/116087.html В реализации команды "go get (https://golang.org/pkg/cmd/go/internal/get/)", предоставляемой штатным интерфейсом командой строки для языка Go и используемой для загрузки пакетов и связанных с ними зависимоcтей, выявлено несколько уязвимостей (https://seclists.org/oss-sec/2018/q4/254), позволяющих выполнить код при обработке специально оформленных пакетов, подготовленных злоумышленниками. Проблемы устранены в корректирующих выпусках Go 1.11.3 и 1.10.6.<br><br><br>Первая уязвимость (https://golang.org/issue/29230.) (CVE-2018-16873 (https://security-tracker.debian.org/tracker/CVE-2018-16873)) проявляется при выполнении команды "go get -u" и прямом импорте модулей в режиме GOPATH. Атака сводится к созданию в модуле импортируемых путей, заканчивающихся на "/.git", которые воспринимаются при вызове "go get -u" как корень репозитория с последующим выполнением в нём команд git. Выполнение кода организуется через размещение вредоносных команд в прикреплённом к репозиторию файле конфигурации git;<br><br><br>Вторая уязвимость (http https://m.opennet.me/openforum/vsluhforumID3/116087.html#55 Wed, 19 Dec 2018 02:39:45 GMT sysirust, тогда уж. <br> https://m.opennet.me/openforum/vsluhforumID3/116087.html#54 Mon, 17 Dec 2018 12:38:50 GMT GO_PATH это шо таке?<br> https://m.opennet.me/openforum/vsluhforumID3/116087.html#53 Mon, 17 Dec 2018 10:17:32 GMT sysrust, тогда уж. <br> https://m.opennet.me/openforum/vsluhforumID3/116087.html#52 Mon, 17 Dec 2018 06:30:19 GMT &gt; А говорили что такое только на C или PHP может быть, а Go &#8212; безопасный, хм. <br><br>Вы неверно услышали, что говорили. Или не уловили суть данных двух уязвимостей. На безопасном языке можно запросто написать небезопасный алгоритм. А вот по невнимательности обратиться к освобожденной области памяти в C легче чем в Go.<br> https://m.opennet.me/openforum/vsluhforumID3/116087.html#51 Sun, 16 Dec 2018 21:02:42 GMT Там сложный сисадминско-административный вопрос: как наладить взаимодействие с языковыми репозитариями так, чтобы тратить как можно меньше времени и делать это минимально чeрeзжoпнo.<br> https://m.opennet.me/openforum/vsluhforumID3/116087.html#50 Sun, 16 Dec 2018 15:02:00 GMT &gt; Всем (кроме Вас)<br><br>хорэ врать! Тут народ только этим и занимается. В любой новости об уязвимостях в проектах на С/С++.<br>И "прозревает" (прям как вы сейчас) во всех остальных.<br>Начиная с аксакала Айзена. :D<br> https://m.opennet.me/openforum/vsluhforumID3/116087.html#49 Sun, 16 Dec 2018 13:34:19 GMT &gt; Это уже потом "ну вы же не думали, что..". <br><br>До Вас не дошло, братец. В отличие от Вас, все сразу понимали и знали, где "грабли зарыты" в "безопасных языках". Всем (кроме Вас) изначально было понятно, что если в "безопасном языке" в программном блоке перед "бесконечным циклом" Вы выделите гиг памяти под массив, обработаете его, не "обнулите" ссылку, а в последующем цикле он Вам уже нафиг не нужен (мало ли, Вам только хэш нужен был от массива) - то получите аналог "утечки памяти". Но Вас ведь надо носом в такое тыкать?<br> https://m.opennet.me/openforum/vsluhforumID3/116087.html#48 Sun, 16 Dec 2018 13:03:45 GMT Вот на это овно, братец, половину и ловят при раскрутке платформы.<br>Та было с го, дотнетом, жабой,..<br>Это уже потом "ну вы же не думали, что..".<br>А не ты ли, братец, этот вентилятор раскручивал? За мзду малую, а? :D<br> https://m.opennet.me/openforum/vsluhforumID3/116087.html#47 Sun, 16 Dec 2018 08:58:49 GMT и не говори . кто их просил в /dev отправлять)))<br>