The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Обновление Git с устранением уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Git с устранением уязвимостей"  +/
Сообщение от opennews (??) on 29-Май-18, 23:51 
Представлены (https://lkml.org/lkml/2018/5/29/889) корректирующие выпуски всех поддерживаемых веток системы управления исходными текстами Git (2.17.1, 2.13.7, 2.14.4, 2.15.2, 2.16.4), в которых устранены две уязвимости:

-  CVE-2018-11235 (https://security-tracker.debian.org/tracker/CVE-2018-11235) - возможность выхода за границы базового каталога  репозитория через использование символов "../" в имени пути к субмодулю, определённому в файле ".gitmodules".  При обращении пользователя к контролируемому злоумышленником репозиторию, возможна организация атаки по созданию/переписи файла в ФС с правами текущего пользователя, которая может быть доведена до запуска кода на сервере (например, через подстановку скрипта post-checkout в файл .git/config);

-  CVE-2018-11233 (https://security-tracker.debian.org/tracker/CVE-2018-11233) -  чтение случайных частей памяти процесса git через создание  в файловой системе NTFS специально оформленных путей.


Дополнительно в новых выпусках добавлена возможность блокирования на стороне сервера push-операций с попыткой создания файла .gitmodules в качестве превентивной меры защиты от добавления вредоносного контента в репозиторий. Режим блокировки включается наряду с другими мерами усиления заищиты при наличии параметра receive.fsckObjects в настройках на стороне сервера. Например, ранее подобным образом уже было запрещено создание каталога ".GIT" с изменением регистра символов.

URL: https://lkml.org/lkml/2018/5/29/889
Новость: https://www.opennet.ru/opennews/art.shtml?num=48680

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление Git с устранением уязвимостей"  –2 +/
Сообщение от Андрей (??) on 29-Май-18, 23:51 
> всех поддерживаемых веток системы управления исходными текстами Git (2.17.1, 2.13.7, 2.14.4, 2.15.2, 2.16.4)

$ gitk origin/ [tab-tab]
origin/HEAD     origin/maint    origin/master   origin/next     origin/pu       origin/todo

Где они?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Обновление Git с устранением уязвимостей"  +5 +/
Сообщение от Аноним (??) on 30-Май-18, 00:47 
Очевидно, в виде тэгов, которые ты не осилил.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Обновление Git с устранением уязвимостей"  –1 +/
Сообщение от Андрей (??) on 30-Май-18, 08:59 
Причём тут тэги? Как можно какой-то код поддерживать, если его нет в соответствующей ветке?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Обновление Git с устранением уязвимостей"  +/
Сообщение от Аноним (??) on 30-Май-18, 09:11 
При том, что тег это легкая ветка, RTFM
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

28. "Обновление Git с устранением уязвимостей"  –1 +/
Сообщение от Аноним (??) on 01-Июн-18, 23:54 
Нет в гите легких и тяжелых веток!

Ветка - это файл в директории .git/refs/heads/ размером 41 байт.
в этом файле хеш коммита.
Тег - это файл в директории .git/refs/tags/ тоже размером 41 байт.
Если это подписанный или аннотированный тег, то создаётся объект в .git/objects/, этот объект указывате на коммит, и в файле (в .git/refs/tags/) хеш этого объекта.

Так что ветка никак не может быть "легче" тега.
Либо одинаково, либо тег это ещё и дополнительный объект.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Обновление Git с устранением уязвимостей"  +/
Сообщение от Аноним (??) on 30-Май-18, 12:33 
А чем тег легче ветки? Тем, что его надо вручную двигать?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Обновление Git с устранением уязвимостей"  +/
Сообщение от Andrey Mitrofanov on 30-Май-18, 13:31 
> А чем тег легче ветки? Тем, что его надо вручную двигать?

Децкий сааад!  Тем, что его _не_ надо двигать.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Обновление Git с устранением уязвимостей"  –1 +/
Сообщение от Аноним (??) on 30-Май-18, 14:24 
Дяденька взрослый, объясните тогда несмышлёнышу, если тег не двигать, как же он будет выполнять функции лёгкой ветки? Ведь в ветку же можно добавлять коммиты, это ведь её отличие от тега?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Обновление Git с устранением уязвимостей"  +/
Сообщение от Andrey Mitrofanov on 30-Май-18, 14:36 
> Дяденька взрослый, объясните тогда несмышлёнышу, если тег не двигать, как же он
> будет выполнять функции лёгкой ветки?

Про ветки я не говорил. Я говорил, что таг двигать _не_ надо. Какое слово не понятно-то?

>Ведь в ветку же можно добавлять
> коммиты, это ведь её отличие от тега?

А в "легковесную", видимо, нельзя.  Она такая -- легковесная.  Наверное!

Но ты мне в этом не верь -- переспроси у того доброхота, который это простое, "понятное" и совершенно бесполезное объяснение/объярлычивание придумал и вытащил тебе на потеху.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Обновление Git с устранением уязвимостей"  –3 +/
Сообщение от Аноним (??) on 30-Май-18, 14:46 
> переспроси у того доброхота, который это простое, "понятное" и совершенно бесполезное объяснение/объярлычивание придумал и вытащил тебе на потеху

Так я и хотел, чтобы тот доброхот объяснил, что он в виду имел. Жаль, веткой ошибся, отвечая ему. А тут ещё ты не в тему влез со своим снобизмом, окончательно порушив всю потеху.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Обновление Git с устранением уязвимостей"  –1 +/
Сообщение от Andrey Mitrofanov on 30-Май-18, 14:53 
>А тут ещё ты не
> в тему влез со своим снобизмом, окончательно порушив всю потеху.

Ну, и славно.  Я победил двух анОнимов-засерь.  #успех

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Обновление Git с устранением уязвимостей"  –1 +/
Сообщение от Аноним (??) on 30-Май-18, 14:57 
Разблокировано достижение "В каждой бочке затычка".
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "Обновление Git с устранением уязвимостей"  +/
Сообщение от Andrey Mitrofanov on 30-Май-18, 15:01 
> Разблокировано достижение "В каждой бочке затычка".

Достижение сомнительное.  Но, поздравляю, чо, за неимением лучшего.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

12. "Обновление Git с устранением уязвимостей"  +1 +/
Сообщение от Andrey Mitrofanov on 30-Май-18, 14:39 
##>>Децкий сааад!
> Дяденька взрослый, объясните тогда

Только, когда читать научишься.

Это сложно -- нужно тренероваться. Не путать свои выдумки с прочитанным.

>несмышлёнышу, если тег не двигать, как же он
> коммиты, это ведь её отличие от тега?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Обновление Git с устранением уязвимостей"  –1 +/
Сообщение от Аноним (??) on 30-Май-18, 14:54 
> когда читать научишься.
> нужно тренероваться
> тренEроваться

Писать правильно научитесь, дяденька, потом поучайте. Паучат. :)

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

18. "Обновление Git с устранением уязвимостей"  +/
Сообщение от Ydro on 30-Май-18, 18:20 
"Бабий аргумент" это перевод спора в другую плоскость. Причём, по женской (она же общечеловеческая)
логике победа в этой плоскости будет означать победу в основном споре.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

19. "Обновление Git с устранением уязвимостей"  +/
Сообщение от Andrey Mitrofanov on 30-Май-18, 18:37 
> "Бабий аргумент"
>по женской (она же общечеловеческая)

Строение половых органов и/или секс.-идентификация совершенно не при чём.

Ему нечем было ответить на указание на ошибки в аргументации, он использовал ad hominem/на личности  --  таки, да, снова/другую логическую ошибку, ошибку аргументации.

Впочем, Вы также вместо аргументации обозвали его земляны ^W чем-то неприятным лично для Вас.  Не аргУмент точно так же. Другой разве что...

>  логике победа в этой плоскости будет означать победу в основном споре.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Обновление Git с устранением уязвимостей"  –1 +/
Сообщение от Аноним (??) on 30-Май-18, 19:19 
А "читать научись" и "нужно тренероваться" - это что ли аргументация? Или всё-так переход на личности? Получается, записной тролль Митрофанов сам первый перешёл на личности. И сей недостойный поступок ещё и "украсил" орфографической ошибкой.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Обновление Git с устранением уязвимостей"  +/
Сообщение от Andrey Mitrofanov on 30-Май-18, 19:39 
> А "читать научись" и "нужно тренероваться" - это что ли аргументация? Или

Это тонкий, почти незаметный и истончённый!, намёк на то, что там написано не то, что показалось-придумалось.

> всё-так переход на личности? Получается, записной тролль Митрофанов сам первый перешёл

Да, намёки оскорбительны и дб запрещены Праилами.

> на личности. И сей недостойный поступок ещё и "украсил" орфографической ошибкой.

Ну, безграмотный пейзанин и нерусь,  дальше то что?

Дальше вывод, что выводы, высосанные из пальцА -- можно и хорпошо.

Консенсус. Расходимся.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

8. "Обновление Git с устранением уязвимостей"  +2 +/
Сообщение от Andrey Mitrofanov on 30-Май-18, 13:30 
>> всех поддерживаемых веток системы управления исходными текстами Git (2.17.1, 2.13.7, 2.14.4, 2.15.2, 2.16.4)
> $ gitk origin/ [tab-tab]
> origin/HEAD     origin/maint    origin/master  
> origin/next     origin/pu      
>  origin/todo
> Где они?

Брысь!

git branch --contains v2.17.1
git describe --tags maint
git log --decorate -1 v2.17.1

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

22. "Обновление Git с устранением уязвимостей"  –1 +/
Сообщение от Андрей (??) on 31-Май-18, 01:08 
>> Где они?
> Брысь!

Тэги - брысь?

$ git branch --contains v2.13.7
* master
$ git branch --contains v2.14.4
* master
$ git branch --contains v2.15.2
* master
$ git branch --contains v2.16.4
* master
$ git branch --contains v2.17.1
* master

Всё то, что ожидаешь в maint находится в... master!?

$ git describe --tags maint
fatal: Not a valid object name maint
$ git describe --tags origin/maint
v2.17.1

О, 2.17.1 и в maint есть. Так в master или maint?

$ git log --decorate -1 v2.17.1
commit fc54c1af3ec09bab8b8ea09768c2da4069b7f53e (tag: v2.17.1, origin/maint)
Author: Junio C Hamano <gitster@pobox.com>
Date:   Tue May 22 14:28:26 2018 +0900

    Git 2.17.1
    
    Signed-off-by: Junio C Hamano <gitster@pobox.com>

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

23. "Обновление Git с устранением уязвимостей"  +1 +/
Сообщение от anonymous (??) on 31-Май-18, 08:52 
> О, 2.17.1 и в maint есть. Так в master или maint?

Прикинь, один и тот же коммит может быть в нескольких ветках. Убивают, караул.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Обновление Git с устранением уязвимостей"  +/
Сообщение от Andrey Mitrofanov on 31-Май-18, 09:41 
>>> Где они?
>> Брысь!
> $ git branch --contains v2.17.1
> * master

git branch -a --contains v2.17.1

> Всё то, что ожидаешь в maint находится в... master!?

Подрастёшь...

>Так в master или maint?

...узнаешь.

> $ git log --decorate -1 v2.17.1
> commit fc54c1af3ec09bab8b8ea09768c2da4069b7f53e (tag: v2.17.1, origin/maint)

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

25. "Обновление Git с устранением уязвимостей"  +/
Сообщение от Андрей (??) on 31-Май-18, 16:16 
Я знаю, что если мне надо посмотреть комиты стабильной или oldstable ветки какого ПО, то я делаю gtik origin/gtk-3-22, origin/gtk-3-20. KISS.
А как мне в gitk увидеть историю комитов 2.13.0 .. 2.13.7 уже не очевидно.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "Обновление Git с устранением уязвимостей"  –1 +/
Сообщение от Андрей (??) on 31-Май-18, 16:48 
https://git-scm.com/docs/gitworkflows#_maintenance_branch_ma...

>After a feature release, you need to manage your maintenance branches.
>
>First, if you wish to continue to release maintenance fixes for the feature release made before the recent one, then you must create another branch to track commits for that previous release.
>
>To do this, the current maintenance branch is copied to another branch named with the previous release version number (e.g. maint-X.Y.(Z-1) where X.Y.Z is the current release).

Чётко: хотите сопровождать старые релизы: создавайте соответствующие ветки.

Почему же сами разработчики git используют какую-то другую технику, и где она описана?

Documentation/howto/maintain-git.txt:

- 'maint' branch is used to prepare for the next maintenance
   release.  After the feature release vX.Y.0 is made, the tip
   of 'maint' branch is set to that release, and bugfixes will
   accumulate on the branch, and at some point, the tip of the
   branch is tagged with vX.Y.1, vX.Y.2, and so on.

Сведений о том, как поддерживать более чем одну серию maint-релизов я там не нашёл.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

27. "Обновление Git с устранением уязвимостей"  +/
Сообщение от Andrey Mitrofanov on 31-Май-18, 18:11 
> Чётко: хотите сопровождать старые релизы: создавайте соответствующие ветки.
> Почему же сами разработчики git используют какую-то другую технику, и где она
> описана?

Очевидно же, что они, "разработчики", совсем не хотят "сопровождать".

Пусть кто-нибудь-другой.(ц)Гомер

Они, как Торрвальдс!

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

29. "Обновление Git с устранением уязвимостей"  +/
Сообщение от Андрей (??) on 03-Июн-18, 00:17 
Не только мне надо подрасти. И у тебя познания быстро закончились. Ну, ничего, подрастёшь, когда-нибудь узнаешь.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру