The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]



"Обновление языка Go 1.8.4 и 1.9.1 с устранением проблем с бе..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление языка Go 1.8.4 и 1.9.1 с устранением проблем с бе..."  +/
Сообщение от opennews (??) on 05-Окт-17, 16:27 
Опубликованы (https://groups.google.com/forum/m/#!topic/golang-nuts/sHfMg4...) корректирующие выпуски языка программирования  Go 1.8.4 и 1.9.1 (https://golang.org), в которых устранены две проблемы с безопасностью:


-  Возможность (https://github.com/golang/go/issues/22125) запуска стороннего кода при выполнении операций "go get" или "go get -d" над пакетами, размещёнными в специально оформленных вложенных репозиториях. Атакующий может разместить в репозитории  Subversion (или другой системе управления версиями, отличной от Git), срез "git checkout", включающий  набор хуков (.git/hooks/). При обработке такого репозитория указанные во вложенном Git-репозитории скрипты-обработчики будут выполнены на стороне клиента;

-  В пакете smtp  устранена (https://github.com/golang/go/issues/22134) проблема, которая могла использоваться для перехвата паролей в открытом виде в результате MITM-атаки  из-за применения метода PLAIN auth для незашифрованных соединений, если удалённый сервер заявляет о поддержке данного метода аутентификации. В новой версии действие PLAIN auth ограничено только TLS-сеансами и обращением к localhost.

URL: https://groups.google.com/forum/m/#!topic/golang-nuts/sHfMg4...
Новость: http://www.opennet.ru/opennews/art.shtml?num=47332

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление языка Go 1.8.4 и 1.9.1 с устранением проблем с бе..."  –4 +/
Сообщение от wooz (??) on 05-Окт-17, 16:27 
Наверное, правильней говорить "обновление интерперетатора языка", ибо сам язык не претерпел изменений ведь, верно?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Обновление языка Go 1.8.4 и 1.9.1 с устранением проблем с бе..."  +/
Сообщение от й on 05-Окт-17, 17:17 
он компилируемый. один из фиксов -- в стандартной smtp-библиотеке (оторвали plain, если нет tls и не localhost), второй -- в своего рода пакетном менеджере go get.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Обновление языка Go 1.8.4 и 1.9.1 с устранением проблем с бе..."  +/
Сообщение от anonimus on 05-Окт-17, 18:12 
Интерпретируемый / компилируемый, какая разница? Язык это одно, а стандартная библиотека - это другое.

Если в glibc найдётся уязвимость, мы будем кричать про новый релиз языка с++? Или все таки следующего стандарта подождем?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Обновление языка Go 1.8.4 и 1.9.1 с устранением проблем с бе..."  +/
Сообщение от deb on 05-Окт-17, 23:38 
Одна из особенностей "языка go" (в контексте заголовка - так его везде в энторнэтах и используют "язык go", "go lang") - это не просто отдельный компилятор + отдельная стандартная библиотека, оно "в одном флаконе", причем собирать и использовать его можно не только из /bin | /usr/local | /opt / etc, а откуда угодно - хоть из $HOME, да хоть из /tmp (причем очень просто - достаточно задать помимо $GOPATH еще и $GOROOT - что удобно в CI, когда можно на сборочных агентах при сборке без возможности пользования контейнеров/виртуализации иметь одновременно сразу несколько версий). А glibc - это "всего лишь" библиотека... (Про С++ вы наверно пошутили, подразумевая libstdc++/libc++?...)
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Обновление языка Go 1.8.4 и 1.9.1 с устранением проблем с бе..."  –1 +/
Сообщение от Аноним (??) on 06-Окт-17, 10:14 
эммм.. я реально не понимаю.

с++ тоже можно "собирать и использовать не только из /bin | /usr/local | /opt / etc, а откуда угодно - хоть из $HOME, да хоть из /tmp"
и даже задавать ни чего не нужно, главное что бы не было noexec

кстати, тот же stdc++ идет из компилятора.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Обновление языка Go 1.8.4 и 1.9.1 с устранением проблем с бе..."  +2 +/
Сообщение от angra (ok) on 06-Окт-17, 01:02 
У многих ЯП нет четкого разделения на спецификацию и реализацию. Корректирующий выпуск perl, ruby или python тоже может выйти без каких-либо изменений в спецификации, но с исправлениями/улучшениями в core модулях или утилитах. И говорит будут про обновление языка perl/ruby/python, так как там спецификация и ее эталонная(а то и единственная) реализация неразрывно связаны. Go относится к таким ЯП.

А есть ЯП вроде C, С++ и javascript, которые отличаются тем, что спецификации сами по себе, а реализации сами по себе. И для них нормальна ситуация, когда ни одна из реализаций не является полноценной, но вместе с тем содержит не входящие в спецификацию фичи. Вот для них про изменение в стандарте и изменение в какой-либо из реализаций говорят отдельно. А в случае с libc еще хуже, у нее своя независимая разработка и множественные не очень совместимые реализации, про которые тоже пишут отдельно, а не говорят об обновлении языка С.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor