The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в Git для Cygwin, позволяющая организовать выполнение кода"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в Git для Cygwin, позволяющая организовать выполнение кода"  +/
Сообщение от opennews (ok), 25-Апр-21, 11:16 
В Git выявлена критическая уязвимость (CVE-2021-29468), проявляющаяся только при сборке для окружения Cygwin (библиотека для эмуляции базового Linux API в Windows и набор типовых linux-программ для Windows). Уявзимость позволяет выполнить код злоумышленника при извлечении данных ("git checkout") из репозитория, подконтрольного атакующему. Проблема устранена в пакете git 2.31.1-2 для Cygwin. В основном проекте Git проблема пока не исправлена (маловероятно, что кто-то своими руками собирает git для Cygwin, а не использует готовый пакет)...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55027

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  –3 +/
Сообщение от VINRARUS (ok), 25-Апр-21, 11:16 
Фу.
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  –3 +/
Сообщение от Аноним (2), 25-Апр-21, 11:20 
Спрашивается, зачем использовать cygwin, если есть православный GNU/Linux?
Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  –3 +/
Сообщение от proninyaroslavemail (ok), 25-Апр-21, 11:22 
Зачем использовать cygwin, если есть православный WSL
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +1 +/
Сообщение от Аноним (4), 25-Апр-21, 11:24 
Раньше использовал для разработки, но сейчас перешёл на винду в VMWare. Перезагружаться уже не нужно, а в последней версии допилили графику до вменяемого состояния, DirectX 11 в виртуалке работает на ура.
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +8 +/
Сообщение от Аноним (12), 25-Апр-21, 12:39 
WSL уже закопали. Сейчас WSL2, а оно есть виртуалка, в которой запускается почти GNU/Linux.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

37. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  –1 +/
Сообщение от Аноним (37), 26-Апр-21, 08:44 
Зачем нужен WSL2, если VirtualBox я могу и сам запустить?
Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +/
Сообщение от Аноним (40), 26-Апр-21, 11:55 
A virtualBox также быстро будет стартовать? также хорошо будет интегрирован с системой (шереные папки, сеть, динамич выделение памяти) без доп. настроек?
Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +1 +/
Сообщение от 1 (??), 27-Апр-21, 00:34 
Конечно, это все давно есть
Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +/
Сообщение от A (?), 28-Апр-21, 21:41 
Тока плохо работает у обоих.
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +2 +/
Сообщение от Аноним (5), 25-Апр-21, 11:27 
Cygwin нужен чтобы получить юзабельное GNU/Windows окружение. Т.е. ConEmu+Msys2.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

6. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +4 +/
Сообщение от IRASoldier_registered (ok), 25-Апр-21, 11:35 
Ну что ты, как же ж так же ж, это ж Виндой пользоваться! Это ж позор страшный!
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +3 +/
Сообщение от Аноним (-), 25-Апр-21, 13:07 
> Ну что ты, как же ж так же ж, это ж Виндой пользоваться! Это ж позор страшный!

Причем, с сугубо местным, "понятийным" определением "пользования" - ну там, как обычно, считаются только "пассивы" или "забутявил винду в день пару раз - все еще не виндораз!".


Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +1 +/
Сообщение от лолшто (?), 25-Апр-21, 11:45 
Какое весло вручили, с тем и гребешь...
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

8. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  –3 +/
Сообщение от Аноним (8), 25-Апр-21, 11:49 
Знаешь, вращал я такие шараги на своём журнале.
Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +/
Сообщение от Dzen Python (ok), 25-Апр-21, 13:20 
Ты главное цепь, к пулемету идущую, поправь, чтобы не звенела, бунар-р-р-ь.
Потому, что как раз именно в шарагах админы не следят за лицензионностью установленного ПО на машинах (не важно, винда там или лянекс), а потом скачут на задней лапке перед заряженным ОБЭП. И подношения несут. Так что тут действительно, или работаешь на лицензионном "жричодали", или обосновываешь закупку себе отдельной лицензии на линукс (или мак в сборе, опечатанный) с наклеечкой и договором.
Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +1 +/
Сообщение от Аноним (8), 25-Апр-21, 21:16 
Всё синтезированное тобою - слишком дикий бред. Как-то стрёмно у вас в совке живётся. А по поводу - "чё дали" - у меня есть свои предпочтения, и я сам знаю какой дистрибутив линукса мне лучше накатить.

Здесь например, даже в тех шарагах, где "жричедали" - после ухода нескольких поколений разрабов уже начинают задумываться о стандартизации бубунточки. Так чтобы не "по запросу", а сразу человек мог выбрать.

Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +/
Сообщение от Аноним (44), 26-Апр-21, 14:16 
>Какое весло вручили, с тем и гребешь...

А если ложку дали?

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

47. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +/
Сообщение от Albertio (ok), 26-Апр-21, 20:28 
Проверь, есть ли в ней дырка
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  –1 +/
Сообщение от Аноним (8), 25-Апр-21, 11:50 
> Уязвимость в Git для Cygwin

Пусть этот цинвин поначалу хоть в вайне запустится!

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +5 +/
Сообщение от Аноним (30), 25-Апр-21, 20:20 
Cygwin в WINE? Мсье знает толк...
Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +/
Сообщение от Аноним (8), 25-Апр-21, 21:17 
А почему бы и нет? Доказательство сквозной работоспособности.
Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +2 +/
Сообщение от Аноним (39), 26-Апр-21, 11:30 
Задачи "обеспечить сквозную работоспособность" никогда не стояло ни у цигвина, ни у вайна, так что претензии по этому поводу можете отправлять прямо в Спортлото.
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +1 +/
Сообщение от Аноним (10), 25-Апр-21, 12:21 
-#ifdef GIT_WINDOWS_NATIVE
+#if defined GIT_WINDOWS_NATIVE || defined __CYGWIN__
                if (c == '\\')
                    return 0;
#endif


Проблема решена, расходимся.
Зачем вообще в Cygwin такие пути файлов?

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  –3 +/
Сообщение от PHPoenX (ok), 25-Апр-21, 13:49 
Это не "пути cygwin", а пути замечательной ntfs, где всё через пятую точку
Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +1 +/
Сообщение от Онаним (?), 25-Апр-21, 23:52 
Хрен она решена. Там помимо гита наверняка 100500 таких же граблей разложено.
Есть мысль, что единственное решение - из цигвина поддержку \ в путях выпилить.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

11. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  –1 +/
Сообщение от Аноним (11), 25-Апр-21, 12:23 
>> что приводит к отсутствию ограничений на использование символа '\' в пути

Линуксойды до сих пор считают себя единственной расой во вселенной? :D

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +3 +/
Сообщение от Аноним (12), 25-Апр-21, 12:45 
Но у соседних расс: всеBSD, MacOS, '\' тоже означает экранирование следующего символа.
Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +/
Сообщение от Аноним (17), 25-Апр-21, 12:57 
а нехрен было создателям вантуза выпендриваться и юзать какие-то бэкслеши в качестве разделителя. Я б на месте мейнтейнеров вообще забил бы на проблему — вантузоидам не привыкать торчать голой опой во все шесть сторон одновременно.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

24. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +/
Сообщение от Ordu (ok), 25-Апр-21, 16:31 
> а нехрен было создателям вантуза выпендриваться и юзать какие-то бэкслеши в качестве разделителя.

Они не выпендривались, они обратную совместимость тянули. Они строили венду как расширитель доса, а в досе, когда речь зашла о добавлении иерархии в фс, слеши вызывали необходимость ломать обратную совместимость:
https://web.archive.org/web/20100612035120/http://blogs.msdn...

Это довольно забавно -- те программы, которые использовали слеши, чтобы выделить ключи, использовали слеш, и из-за которых решили использовать \ разделителем пути в досе, давно не существуют, а обратная совместимость с ними до сих пор.

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +/
Сообщение от Аноним (12), 25-Апр-21, 19:09 
Тогда в 1983-м, когда MS-DOS 2.0 вышла, могли бы смело в досовых утилитках поменять префикс для ключей на '-'. Всё равно, утилиnки шли с конкретной версией DOS.
Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +/
Сообщение от Ordu (ok), 25-Апр-21, 19:34 
Могли бы, но что возьмёшь со старпёров, которые в дополнение к синдрому утёнка ещё и заботятся о том, чтобы существующие скрипты не сломались.
Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  –1 +/
Сообщение от i (??), 25-Апр-21, 23:41 
хаха, тоже мне мальчик молодой
Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +/
Сообщение от Ordu (ok), 26-Апр-21, 00:42 
Старпёр -- это не возраст, это состояние ума.
Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +/
Сообщение от пох. (?), 26-Апр-21, 12:22 
это только у вас, лап4...х так принято - взять и всем все сломать, ради всеобщего щастья (а на деле банальной лени разработчиков думать - что мы и получили с cygwin - ну кто бы мог подумать и было бы ему, чем, что у другой системы могут быть какие-то другие пути?)


Именно по этой причине вы в гуане по шею и там и останетесь.

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

38. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +/
Сообщение от Аноним (17), 26-Апр-21, 10:11 
ключи ставятся после названия проги: program.exe /?

да, дос-вантуз позволяет пришпандоривать ключи непосредственно к названию экзешника, без пробела: program.exe/p/i/z/d/e/t/s

ну так следовало просто требовать между ключами и названием проги ставить пробел, тогда команды бы интерпретировались однозначно: c:/hello.exe /?. Но нет, вантузоиды пошли своим особым "обратно-совместимым" путем (хоть и не совместимым со всем остальным миром, да глянь хотя бы на URL, там тоже нормальные слэши вместо вантузных)

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

42. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +/
Сообщение от пох. (?), 26-Апр-21, 12:25 
> ну так следовало просто требовать между ключами и названием проги ставить пробел,

кому следовало, зачем это следовало?

Команды и так интерпретируются однозначно - интерпретатор не позволит подсунуть слэж как часть имени. Проблемы рукожопиков с ластами вместо рук - это их проблемы.

> хоть и не совместимым со всем остальным миром

каким еще "остальным миром" - вашим еще не родившимся л@тым гуаном?

C rt11 да, получилось не очень совместимо, в ней вообще никаких каталогов не было.

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +/
Сообщение от Аноним (26), 25-Апр-21, 16:54 
Изначально была dos 1.0, которая не поддерживала каталоги, но зато были утилиты, написанные ibm, которые использовали / для передачи опций, например dir /w. В unix для этих целей использовали -.

Потом, в dos 2.0, каталоги появились, но / уже был звнят, так что взяли обратный слэш, ну а потом понеслась обратная совместимость...

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

29. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +2 +/
Сообщение от turbo2001 (ok), 25-Апр-21, 20:06 
И тут IBM поднаcpал.
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  –5 +/
Сообщение от пох. (?), 25-Апр-21, 12:40 
> Уявзимость позволяет выполнить код злоумышленника при извлечении
> данных ("git checkout") из репозитория,

чорд, я один не понимаю, где тут очередная "увизгвимость", достойная аж целых статей впопеннета?

Мы разьве эти самые данные...которые вообще-то скорее всего тоже код - не собирались выполнять? Чиста на посмотреть чекаутили?

А, "это другое", да...

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  –2 +/
Сообщение от Вертел мастдайку на кожаной оси (?), 25-Апр-21, 13:58 
Ну да, у вас на шинодшс одной дыренью больше или меньше - без разницы, всё равно всё дырявое. А на нормальных системах люди, представь себе, веб и мобильной разработкой занимаются - и код из репозиториев запускается в изолированной среде.
Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +/
Сообщение от Аноним (12), 25-Апр-21, 12:48 
Предполагаю, что в Git Msys2 это тоже уязвимость.
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +/
Сообщение от Аноним (19), 25-Апр-21, 13:15 
Какой ужас!
Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +/
Сообщение от Аноним (23), 25-Апр-21, 15:07 
Пора в лицензии прописать, что запускать линукс на платных платформах можно только после открытия всех спецификаций API проприетарщины чтобы Wine тоже мог быть полноценным.
Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  –2 +/
Сообщение от муу (?), 26-Апр-21, 04:50 
такие как ты понаписывают, да

в cygwin (о котором речь в новости) линуксом который ядро даже и не пахнет
там в основном GNU

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  –2 +/
Сообщение от YetAnotherOnanym (ok), 25-Апр-21, 16:43 
> маловероятно, что кто-то своими руками собирает git для Cygwin, а не использует готовый пакет

Тонко. Зачот.

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +/
Сообщение от Аноним (45), 26-Апр-21, 17:52 
Ну так windows, чему тут удивлсяться.
Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."  +/
Сообщение от Wilem82 (ok), 27-Апр-21, 03:04 
Правильно писать GNU/Windows.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру