Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в Git для Cygwin, позволяющая организовать выполнение кода"	+/–
Сообщение от opennews (ok), 25-Апр-21, 11:16
В Git выявлена критическая уязвимость (CVE-2021-29468), проявляющаяся только при сборке для окружения Cygwin (библиотека для эмуляции базового Linux API в Windows и набор типовых linux-программ для Windows). Уявзимость позволяет выполнить код злоумышленника при извлечении данных ("git checkout") из репозитория, подконтрольного атакующему. Проблема устранена в пакете git 2.31.1-2 для Cygwin. В основном проекте Git проблема пока не исправлена (маловероятно, что кто-то своими руками собирает git для Cygwin, а не использует готовый пакет)... Подробнее: https://www.opennet.me/opennews/art.shtml?num=55027
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от VINRARUS (ok), 25-Апр-21, 11:16	–3 +/–
Фу.
Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от Аноним (2), 25-Апр-21, 11:20	–3 +/–
Спрашивается, зачем использовать cygwin, если есть православный GNU/Linux?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #5, #7

3. Сообщение от proninyaroslav (ok), 25-Апр-21, 11:22	–3 +/–
Зачем использовать cygwin, если есть православный WSL
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #4, #12

4. Сообщение от Аноним (4), 25-Апр-21, 11:24	+1 +/–
Раньше использовал для разработки, но сейчас перешёл на винду в VMWare. Перезагружаться уже не нужно, а в последней версии допилили графику до вменяемого состояния, DirectX 11 в виртуалке работает на ура.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

5. Сообщение от Аноним (5), 25-Апр-21, 11:27	+2 +/–
Cygwin нужен чтобы получить юзабельное GNU/Windows окружение. Т.е. ConEmu+Msys2.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #6

6. Сообщение от IRASoldier_registered (ok), 25-Апр-21, 11:35	+4 +/–
Ну что ты, как же ж так же ж, это ж Виндой пользоваться! Это ж позор страшный!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #18

7. Сообщение от лолшто (?), 25-Апр-21, 11:45	+1 +/–
Какое весло вручили, с тем и гребешь...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #8, #44

8. Сообщение от Аноним (8), 25-Апр-21, 11:49	–3 +/–
Знаешь, вращал я такие шараги на своём журнале.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #20

9. Сообщение от Аноним (8), 25-Апр-21, 11:50	–1 +/–
> Уязвимость в Git для Cygwin Пусть этот цинвин поначалу хоть в вайне запустится!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30

10. Сообщение от Аноним (10), 25-Апр-21, 12:21	+1 +/–
-#ifdef GIT_WINDOWS_NATIVE +#if defined GIT_WINDOWS_NATIVE || defined __CYGWIN__                 if (c == '\\')                     return 0; #endif Проблема решена, расходимся. Зачем вообще в Cygwin такие пути файлов?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21, #34

11. Сообщение от Аноним (11), 25-Апр-21, 12:23	–1 +/–
>> что приводит к отсутствию ограничений на использование символа '\' в пути Линуксойды до сих пор считают себя единственной расой во вселенной? :D
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #17

12. Сообщение от Аноним (12), 25-Апр-21, 12:39	+8 +/–
WSL уже закопали. Сейчас WSL2, а оно есть виртуалка, в которой запускается почти GNU/Linux.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #37

13. Сообщение от пох. (?), 25-Апр-21, 12:40	–5 +/–
> Уявзимость позволяет выполнить код злоумышленника при извлечении > данных ("git checkout") из репозитория, чорд, я один не понимаю, где тут очередная "увизгвимость", достойная аж целых статей впопеннета? Мы разьве эти самые данные...которые вообще-то скорее всего тоже код - не собирались выполнять? Чиста на посмотреть чекаутили? А, "это другое", да...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22

14. Сообщение от Аноним (12), 25-Апр-21, 12:45	+3 +/–
Но у соседних расс: всеBSD, MacOS, '\' тоже означает экранирование следующего символа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

15. Сообщение от Аноним (12), 25-Апр-21, 12:48	+/–
Предполагаю, что в Git Msys2 это тоже уязвимость.
Ответить | Правка | Наверх | Cообщить модератору

17. Сообщение от Аноним (17), 25-Апр-21, 12:57	+/–
а нехрен было создателям вантуза выпендриваться и юзать какие-то бэкслеши в качестве разделителя. Я б на месте мейнтейнеров вообще забил бы на проблему — вантузоидам не привыкать торчать голой опой во все шесть сторон одновременно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #24, #26

18. Сообщение от Аноним (-), 25-Апр-21, 13:07	+3 +/–
> Ну что ты, как же ж так же ж, это ж Виндой пользоваться! Это ж позор страшный! Причем, с сугубо местным, "понятийным" определением "пользования" - ну там, как обычно, считаются только "пассивы" или "забутявил винду в день пару раз - все еще не виндораз!".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

19. Сообщение от Аноним (19), 25-Апр-21, 13:15	+/–
Какой ужас!
Ответить | Правка | Наверх | Cообщить модератору

20. Сообщение от Dzen Python (ok), 25-Апр-21, 13:20	+/–
Ты главное цепь, к пулемету идущую, поправь, чтобы не звенела, бунар-р-р-ь. Потому, что как раз именно в шарагах админы не следят за лицензионностью установленного ПО на машинах (не важно, винда там или лянекс), а потом скачут на задней лапке перед заряженным ОБЭП. И подношения несут. Так что тут действительно, или работаешь на лицензионном "жричодали", или обосновываешь закупку себе отдельной лицензии на линукс (или мак в сборе, опечатанный) с наклеечкой и договором.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #31

21. Сообщение от PHPoenX (ok), 25-Апр-21, 13:49	–3 +/–
Это не "пути cygwin", а пути замечательной ntfs, где всё через пятую точку
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

22. Сообщение от Вертел мастдайку на кожаной оси (?), 25-Апр-21, 13:58	–2 +/–
Ну да, у вас на шинодшс одной дыренью больше или меньше - без разницы, всё равно всё дырявое. А на нормальных системах люди, представь себе, веб и мобильной разработкой занимаются - и код из репозиториев запускается в изолированной среде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

23. Сообщение от Аноним (23), 25-Апр-21, 15:07	+/–
Пора в лицензии прописать, что запускать линукс на платных платформах можно только после открытия всех спецификаций API проприетарщины чтобы Wine тоже мог быть полноценным.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #36

24. Сообщение от Ordu (ok), 25-Апр-21, 16:31	+/–
> а нехрен было создателям вантуза выпендриваться и юзать какие-то бэкслеши в качестве разделителя. Они не выпендривались, они обратную совместимость тянули. Они строили венду как расширитель доса, а в досе, когда речь зашла о добавлении иерархии в фс, слеши вызывали необходимость ломать обратную совместимость: https://web.archive.org/web/20100612035120/http://blogs.msdn... Это довольно забавно -- те программы, которые использовали слеши, чтобы выделить ключи, использовали слеш, и из-за которых решили использовать \ разделителем пути в досе, давно не существуют, а обратная совместимость с ними до сих пор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #27, #38

25. Сообщение от YetAnotherOnanym (ok), 25-Апр-21, 16:43	–2 +/–
> маловероятно, что кто-то своими руками собирает git для Cygwin, а не использует готовый пакет Тонко. Зачот.
Ответить | Правка | Наверх | Cообщить модератору

26. Сообщение от Аноним (26), 25-Апр-21, 16:54	+/–
Изначально была dos 1.0, которая не поддерживала каталоги, но зато были утилиты, написанные ibm, которые использовали / для передачи опций, например dir /w. В unix для этих целей использовали -. Потом, в dos 2.0, каталоги появились, но / уже был звнят, так что взяли обратный слэш, ну а потом понеслась обратная совместимость...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #29

27. Сообщение от Аноним (12), 25-Апр-21, 19:09	+/–
Тогда в 1983-м, когда MS-DOS 2.0 вышла, могли бы смело в досовых утилитках поменять префикс для ключей на '-'. Всё равно, утилиnки шли с конкретной версией DOS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #28, #41

28. Сообщение от Ordu (ok), 25-Апр-21, 19:34	+/–
Могли бы, но что возьмёшь со старпёров, которые в дополнение к синдрому утёнка ещё и заботятся о том, чтобы существующие скрипты не сломались.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #33

29. Сообщение от turbo2001 (ok), 25-Апр-21, 20:06	+2 +/–
И тут IBM поднаcpал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

30. Сообщение от Аноним (30), 25-Апр-21, 20:20	+5 +/–
Cygwin в WINE? Мсье знает толк...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #32

31. Сообщение от Аноним (8), 25-Апр-21, 21:16	+1 +/–
Всё синтезированное тобою - слишком дикий бред. Как-то стрёмно у вас в совке живётся. А по поводу - "чё дали" - у меня есть свои предпочтения, и я сам знаю какой дистрибутив линукса мне лучше накатить. Здесь например, даже в тех шарагах, где "жричедали" - после ухода нескольких поколений разрабов уже начинают задумываться о стандартизации бубунточки. Так чтобы не "по запросу", а сразу человек мог выбрать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

32. Сообщение от Аноним (8), 25-Апр-21, 21:17	+/–
А почему бы и нет? Доказательство сквозной работоспособности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #39

33. Сообщение от i (??), 25-Апр-21, 23:41	–1 +/–
хаха, тоже мне мальчик молодой
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #35

34. Сообщение от Онаним (?), 25-Апр-21, 23:52	+1 +/–
Хрен она решена. Там помимо гита наверняка 100500 таких же граблей разложено. Есть мысль, что единственное решение - из цигвина поддержку \ в путях выпилить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

35. Сообщение от Ordu (ok), 26-Апр-21, 00:42	+/–
Старпёр -- это не возраст, это состояние ума.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

36. Сообщение от муу (?), 26-Апр-21, 04:50	–2 +/–
такие как ты понаписывают, да в cygwin (о котором речь в новости) линуксом который ядро даже и не пахнет там в основном GNU
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

37. Сообщение от Аноним (37), 26-Апр-21, 08:44	–1 +/–
Зачем нужен WSL2, если VirtualBox я могу и сам запустить?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #40

38. Сообщение от Аноним (17), 26-Апр-21, 10:11	+/–
ключи ставятся после названия проги: program.exe /? да, дос-вантуз позволяет пришпандоривать ключи непосредственно к названию экзешника, без пробела: program.exe/p/i/z/d/e/t/s ну так следовало просто требовать между ключами и названием проги ставить пробел, тогда команды бы интерпретировались однозначно: c:/hello.exe /?. Но нет, вантузоиды пошли своим особым "обратно-совместимым" путем (хоть и не совместимым со всем остальным миром, да глянь хотя бы на URL, там тоже нормальные слэши вместо вантузных)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #42

39. Сообщение от Аноним (39), 26-Апр-21, 11:30	+2 +/–
Задачи "обеспечить сквозную работоспособность" никогда не стояло ни у цигвина, ни у вайна, так что претензии по этому поводу можете отправлять прямо в Спортлото.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

40. Сообщение от Аноним (40), 26-Апр-21, 11:55	+/–
A virtualBox также быстро будет стартовать? также хорошо будет интегрирован с системой (шереные папки, сеть, динамич выделение памяти) без доп. настроек?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #48

41. Сообщение от пох. (?), 26-Апр-21, 12:22	+/–
это только у вас, лап4...х так принято - взять и всем все сломать, ради всеобщего щастья (а на деле банальной лени разработчиков думать - что мы и получили с cygwin - ну кто бы мог подумать и было бы ему, чем, что у другой системы могут быть какие-то другие пути?) Именно по этой причине вы в гуане по шею и там и останетесь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

42. Сообщение от пох. (?), 26-Апр-21, 12:25	+/–
> ну так следовало просто требовать между ключами и названием проги ставить пробел, кому следовало, зачем это следовало? Команды и так интерпретируются однозначно - интерпретатор не позволит подсунуть слэж как часть имени. Проблемы рукожопиков с ластами вместо рук - это их проблемы. > хоть и не совместимым со всем остальным миром каким еще "остальным миром" - вашим еще не родившимся л@тым гуаном? C rt11 да, получилось не очень совместимо, в ней вообще никаких каталогов не было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

44. Сообщение от Аноним (44), 26-Апр-21, 14:16	+/–
>Какое весло вручили, с тем и гребешь... А если ложку дали?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #47

45. Сообщение от Аноним (45), 26-Апр-21, 17:52	+/–
Ну так windows, чему тут удивлсяться.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #49

47. Сообщение от Albertio (ok), 26-Апр-21, 20:28	+/–
Проверь, есть ли в ней дырка
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

48. Сообщение от 1 (??), 27-Апр-21, 00:34	+1 +/–
Конечно, это все давно есть
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #50

49. Сообщение от Wilem82 (ok), 27-Апр-21, 03:04	+/–
Правильно писать GNU/Windows.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

50. Сообщение от A (?), 28-Апр-21, 21:41	+/–
Тока плохо работает у обоих.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема