Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 и 2.34.2, в которых устранены две уязвимости:...Подробнее: https://www.opennet.me/opennews/art.shtml?num=57013
Ну вот, и git уязвимый, и на perforce не перейдёшь. Остаётся только одно:$ cvs --version
Concurrent Versions System (CVS) 1.11.1p1 (client/server)
Copyright (c) 1989-2001 Brian Berliner, david d `zoo' zuhn,
Jeff Polk, and other authors
А как насчет CVE-2017-12836, CVE-2012-0804, CVE-2010-3846, CVE-2005-2693, CVE-2005-0753, CVE-2004-1471, CVE-2004-1343, CVE-2004-1342, CVE-2004-0778, CVE-2004-0418, CVE-2004-0417, CVE-2004-0416, CVE-2004-0414, CVE-2004-0405, CVE-2004-0396, CVE-2004-0180, CVE-2003-0977, CVE-2003-0015, CVE-2002-0844?
Или дыры в CVS не считаются, потому что это другое?
5 лет уже как нет дыр в цвс, так что это другое
Нет пользователей -- нет дыр, логично.
Как минимум бошьшинство пользователей OpenBSD
> Как минимум бошьшинство пользователей OpenBSDИ чего с ними делать? Ну вот нашел ты это, допустим. И дальше радость с этого чего? Написыть этим мышкам в норку? Им и без тебя это делают. Достаточно успешно иногда. Профита с этого будет ноль, у этих голодранцев врядли есть баунти программа тем более покрывающая CVS, корпам CVS тоже не интересен, а найти системы для атаки - проще белого медведя в Сахаре встретить.
В openbsd сделали opencvs как раз из-за подобных уязвимостей
Вероятно, последние 5 лет хакеры вообще дыры в CVS не искали. А какая с этого радость? Вы еще уязвимости в MSDOS предложите поискать.
Учитывая, что под DOS работает всякое торговое оборудование (а возможно и некоторые банкоматы), искать в ней уязвимости не такое уж бессмысленное занятие.
Зачем в MS-DOS искать уязвимости? Там всё в одном адресном пространстве. Просто бери и пиши по любому адресу в область DOS.
> Зачем в MS-DOS искать уязвимости? Там всё в одном адресном пространстве. Просто
> бери и пиши по любому адресу в область DOS.Ну так по сети/коммуникационным интерфейсам доступ сразу к адресам наверное все же не дают. Если дают - странные люди, тогда это уже бэкдор скорее.
В смысле ПО запускается не в виртуальной памяти? То есть процессор не в защищенном режиме?
Вообще-то у нас для этого были предыдущие 25.
Но нашли пару весьма так себе.А радости с этого тебе никакой, кнутователь велит пользоваться git, как все, и ни в коем случае не интересоваться, является ли эта технология хотя бы в части случаев лучшей чем cvs.
Git лучше с управлением версиями справляется - переключая версии быстро и без перекачки половины проекта, для крупных проектов актуально. Да и сервер ему не требуется а локальный реп полноценен, в отличие от. Для своих мелких проектов так тоже намного удобнее чем сервак для cvs делать.А кнутователь в этом случае разве что сама жизнь, эффективные инструменты ее облегчают.
Вообще-то ты путаешься в показаниях. Обычно за это кнутуют сильнее - есть чего скрывать.Для крупных проектов обычно неактуально "быстропереключатьверсии". Для них актуально не хранить "полноценный" локальный реп который на самом деле нафиг не упал разработчику. (Возблагодари же MS за предоставленное счастье lfs! И shallow tree, конечно.)
Или три-пять если на самом деле ты работаешь одновременно в нескольких ветках (ты точно-точно настолько разносторонне одарен?) и не хочешь чистить все дерево и три часа ждать пересборки ради однострочного мержа из одной в другую.Для своих мелких проектов чуть выходящих за рамки локалхоста тоже неудобен - именно потому что "сервак для cvs" встроенный, имеет собственную хоть и примитивную авторизацию, и его несложно дополнительно изолировать, а с гитом то ли ssh высовывать наружу, то ли городить поделки а-ля гитеа и подпирать костылями, то и другое для мелкого проекта оверкил.
> А кнутователь в этом случае разве что сама жизнь, эффективные инструменты ее облегчают.
Облегчают. Но за попытку их применения в реальном проекте я тебя окнутую (ничего личного, я человек служебный). Поэтому будешь пользоваться git, как велели.
Насколько я понимаю, примерно так у тебя дела и обстоят - ты вот даже не знаешь что cvs прекрасно работает без всякого выделенного сервера.
> Вообще-то ты путаешься в показаниях. Обычно за это кнутуют сильнее - есть чего скрывать.В гите что-то скрывать не очень удобно и логично, это вы гоните.
> Для крупных проектов обычно неактуально "быстропереключатьверсии".
Пока не попробуешь разок загасить баг черт знает где используя git bisect. А потом на меньшее уже как-то и не хочется соглашаться. Да, при этом скорость разворачивания большого проекта может уже начать интересовать. И если оно там полпроекта качает медленно и печально - значит я буду туповэйтить машину дольше.
> Для них актуально не хранить "полноценный" локальный реп который на самом деле нафиг не упал разработчику.
Ну я вон храню Linux Kernel. Нормальный проектец. Без git с таким проектом было бы нечего ловить. А LFS и проч актуальны каким-нибудь игроделам, и то не всем из них.
> три часа ждать пересборки ради однострочного мержа из одной в другую.
С однострочным мержем обычно пересборка будет только того что изменилось и того что от него зависит.
> Облегчают. Но за попытку их применения в реальном проекте я тебя окнутую
Мы с тобой никогда не будем в одной команде - я не имею дел с командами где отстадые тулсы. Так что мечтать не вредно.
> ты вот даже не знаешь что cvs прекрасно работает без всякого выделенного сервера.
Понятия о прекрасном у всех разные. Гит симметричен и ему все-равно локально оно или ремотно, полная функциональность доступна всегда. Без всяких если. Это удобно. Можно всегда работать с проектами как обычно. А если интернета нет - ну и фиг с ним, когда будет выложу куданить на "точку обмена". Современные люди работают как-то так. А вы можете хоть к веслу приковаться, я этого делать не собираюсь. И гит я для своих проектов выбрал сам - как ниаболее удобную и фичастую штуку. Никто мне это не велел. А CVS я забыл как страшный сон, много лет назад. Мне нравится симметричный p2p-стиль разработки, без нездоровой централизации.
Не является. Ни по каким объективным парамерам. Где-то, как-то, в легаси-нише, где окопались 3½ бородатых анона — возможно. Эдакая киста в теле современного IT. Дальше давай рассказывай, если есть что.
> Ну вот, и git уязвимый, и на perforce не перейдёшь.Чемодан, вокзал, Ереван. Переходи. На те $10k которые тебе разрешат увезти в чемодане, примерно пол-года сможешь наслаждаться нормальным инструментом (аренда квартирки в Ереване нынче недешева, перфорса по сравнению с этим - копейки будет стоить)
Ну вообще-то те, кто съехать хотели - те давно уже кто в Париже, кто в Неймегене, кто в Женеве, кто в Гамильтоне, а кто вообще в Рэдмонде. И никаких сваливших в Армению и Грузию среди них почему-то не наблюдаю.
Ты путаешь "хотели" с "сумели".Не всех ждут с распростертыми объятьями в Париже и Женеве. А в Рэдмонд они могут и не особенно хотеть. Тем более что там уже половина Индии толкается локтями, и это у них получается получше многих. Не все кто хотят при этом готовы и могут себе позволить все бросить и начинать с низов, и не все настолько ценны чтобы им сразу предоставили шоколадные условия.
А в Армении теперь пол-яндекса (рабов мэйлрушечки кажется не отпустили, там цепь более короткая) - поскольку это миграция без миграции. Рабочее место остается тем же (пока там есть чем платить, конечно), а дышать чуть полегче и виза работает.
> Не всех ждут с распростертыми объятьями в Париже и Женеве.По собственному опыту иммиграции скажу: никого нигде не ждут. Приезжаешь, устраиваешь быт, зарабатываешь деньги. Лет через пять выходишь на тот уровень, с которого сорвался, через ещё пять недоумеваешь как можно было жить в той дыре, из которой уехал. Через ещё пять шлёшь пенсию престарелым родителям размером со среднюю зарплату по городу. Дальше пока не знаю, не дожил ещё.
"Там не ждут" имеется ввиду не буквально стоят на вокзале с оркестром, а в том смысле, что обустраиваться сложнее. В России если ты хочешь найти работу - приходишь, на русском языке с русской же HR общаешься, у вас общая культура и понимание. Тебя "ждут" на очередную галеру. За бугром сразу же видят "Джамшута" и с очень большим скепсисом пытаются понять, сколько проблем они огребут, взяв "чужестранца" на работу.
Я сам имиграцию прошёл (ЮАР) и прямо скажу, первое время съехал в такой дауншифтинг, что готов был воровать хлеб. Но попались добрые люди, приютили, потом и работа (ЧУДОМ!) нашлась. А вот уже с работой - да, всё пошло как на мази.
И да, я тоже 100% за иммиграцию - незачем гробить жизнь на скрепы, когда можно жить как человек.
>незачем гробить жизнь на скрепы, когда можно жить как человек.Логичное продолжение фразы - "жить как человек без скреп"
Мы это уже проходили. "Иван не помнящий родства" — крылатое выражение, фразеологизм, обозначающий человека без убеждений и традиций.
История этого выражения начинается в царской России, когда пойманные беглые каторжники и крепостные крестьяне, пытаясь скрыть своё прошлое и имя, ссылались при задержании на то, что не помнят своего имени и родства. В полицейских участках их записывали как «Иван, не помнящий родства» (юридический термин того времени). (источник Википедия)
>>незачем гробить жизнь на скрепы, когда можно жить как человек.
> Логичное продолжение фразы - "жить как человек без скреп"Ты сказать-то что хотел? Мне уроки истории нахрен не нужны, ты свою мысль выдай.
>Мне уроки истории нахрен не нужныК огромному сожалению, много сейчас вот таких, которых история ни чему не учит, потому что "нахрен не нужна".
А есть очень важные уроки истории:
- в 1945 нынешние поборники "гуманизма" за два дня в Хиросиме и Нагасаки уничтожили разом 200 тыс. человек мирного населения
- в 60-х годах они-же поливали напалмом деревни во Вьетнаме
- в 1999 они-же громили ракетами жилые кварталы Белграда
- в 2003 они-же бомбили Багдад по 1000 самолето-вылетов в день. В результате в 2019 году Багдад был признан худшим в мире городом для жизни. Столица Ирака оказалась на последнем 231-м месте сразу после Банги (ЦАР)Я помню все это (история для меня имеет значение) и я выбираю остаться в своей стране и работать на ее благо и укрепление (не хочу как в Хиросиме или Багдаде).
>ты свою мысль выдай
Тебе, и таким-же как ты, искренне желаю свалить отсюда по-быстрее и по-удачнее. Так будет лучше для всех.
>недоумеваешь как можно было жить в той дыре, из которой уехалЯ думаю здесь будет уместно привести старый анекдот.
Беседуют два червячка, папа и сын.
Сын: Папа, а правда, что кто-то живет в яблоке, где вкусно и тепло?
Папа: Правда.
Сын: Папа, а правда, что кто-то живет в груше, где еще вкуснее?
Папа: Правда.
Сын: Папа, а почему мы живем в навозной куче?
Папа: Понимаешь, сынок, есть такое понятие - Родина!Кто-то выбирает свалить любым способом туда, где вкусно и тепло.А кто-то остается в навозной куче и пытается своей работой хоть что-нибудь исправить.
И не надо строить иллюзий: кроме нас никто (западные "друзья и партнеры") эту кучу исправлять не будет.
Вот и выросла школота, не понимающая ценности Mercurial!
Это опасно?
Нет, тебе же по русски написали: на совместно используемых системах.
У тебя на компе ещё сколько учёток заведено?
Или ты с гитом работаешь на подмонтированных шарах?Правда остаётся вариант с засылкой в архиве описанного в новости и таким образом активации.
Но в общем нет, это довольно специфичный авторан основанный на гите.
Э... блжад, стесняюсь спросить - у тебя разработчики не имеют доступа ни к какой shared системе? Или на твоем локалхосте только один разработчик, ты?А то у меня на компе одна учетка, но я и моя тульпа не занимаемся "разработкой" на нем. Только смотрим прон.
Не очень понятно зачем VCS и ее внутренности на shared выкладывать. А через vcs взаимодействовать не пробовали вместо файлшар? :)
Они на шаред системах не работают с гитом.
И в целом им там нечего особо делать, всю работу они работают у себя локально:
- открыл тикет браузером
- всосал гитом изменения, завёл бранч, пофиксил, запушил
- отписал в тикет через браузерНа файлопомойках только образы валяются, игрухи и киношки с музоном, работать там с гитом так себе идея в виду высокого латенсити как минимум, да и смысла в этом нет.
> И в целом им там нечего особо делать, всю работу они работают у себя локально:ни тестирования, ни отладки - запушил, пописал в тикет, следующий.
Удобно, да.
Это фича.> Атака осуществляется через размещение заменяющих DLL во временном каталоге, которые будут загружены при запуске uninstaller с правами SYSTEM
> Это фича.Это как разведчик и шпион - делают одно и то же, но результат разный.
> Атака осуществляется через размещение заменяющих DLL во временном каталоге, которые будут загружены при запуске uninstaller с правами SYSTEMКакая прелесть!
> > Атака осуществляется через размещение заменяющих DLL во временном каталоге, которые будут загружены при запуске uninstaller с правами SYSTEM
> Какая прелесть!А при чем тут git?
Чуть менее че любое гoвнo (включая мелкомягкое) под Windows, ведет себя аналогичным штатным для системы образом.
> Атакующий может создать каталог ".git" в местах, пересекающихся с другими пользователями (например, в совместно используемых каталогах или каталогах с временными файлами) и разместить в нём файл конфигурации ".git/config" с настройкой обработчиковЯсно. А уязвимость в чем? Выглядит как фича
> вызов может быть совершён косвенно, например, при использовании редакторов кодаКогда редактор шарится по папкам и запускает оттуда всякую чужую хрень - это как-то ненормально.
нормально-нормально. Испокон веков ворд запускает всякую чушь из макросов, блендер запускает питоно-чушь в бленд-файлах, IDEA/vscode запускают чушь из package.json и .git. Все озвученные софтины выдают предупреждение, доверяете ли вы источнику.
Нo да виндожвс же более бежопасен
Да... такие уязвимости... одна у бакланов с вскодом и помойкой в фс, у других хрен проэксплуатируешь. Другая вообще тольк в маздае проявляется, они все-равно там привычные.
никогда не было и вот, опять!
По поводу этих уязвимостей. Разбудите Линуса!
Git - это сама по себе уязвимость. Уязвлённое чувство самолюбия Трольвадса :) Как же так - у других есть адекватный DVCS, а у меня нет! Вот и склепал чудище....