The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

29.05.2018 21:09  Обновление Git с устранением уязвимостей

Представлены корректирующие выпуски всех поддерживаемых веток системы управления исходными текстами Git (2.17.1, 2.13.7, 2.14.4, 2.15.2, 2.16.4), в которых устранены две уязвимости, одна из которых может быть использована для запуска кода злоумышленника при обращении к вредоносному репозиторию. Обновления пакетов с устранением проблемы выпущены для Debian и Fedora, и ожидаются для RHEL, Ubuntu и SUSE.

  • CVE-2018-11235 - возможность выхода за границы базового каталога репозитория через использование символов "../" в относительном пути к субмодулю, определённому в файле ".gitmodules". Штатно субмодули размещаются внутри собственного каталога .git/modules/, но благодаря уязвимости имеется возможность выхода за его пределы при выполнении операции извлечения субмодуля.

    При обращении пользователя к контролируемому злоумышленником репозиторию возможна организация атаки по созданию/переписи файла вне каталога ".git" с правами текущего пользователя. Атака может быть доведена до запуска кода на сервере при рекурсивном клонировании вредоносного репозитория, например, через подстановку скрипта post-checkout в файл .git/config. Для эксплуатации уязвимости клиент обязательно должен выполнить "git clone --recurse-submodules" или "git clone --recursive", при простом клонировании без субмодулей проблема не проявляется;

  • CVE-2018-11233 - чтение случайных частей памяти процесса git через создание в файловой системе NTFS специально оформленных путей.

Дополнительно в новых выпусках добавлена возможность блокирования на стороне сервера push-операций с попыткой создания проблемного файла .gitmodules в качестве превентивной меры защиты от добавления вредоносных репозиториев в системах совместного хостинга кода. Режим блокировки включается наряду с другими мерами усиления защиты при наличии параметра receive.fsckObjects в настройках на стороне сервера. Например, ранее подобным образом уже было запрещено создание каталога ".GIT" с изменением регистра символов.

  1. Главная ссылка к новости (https://lkml.org/lkml/2018/5/2...)
  2. OpenNews: Представлена вторая версия протокола Git
  3. OpenNews: Выпуск распределенной системы управления исходными текстами Git 2.17
  4. OpenNews: Метод подстановки троянского кода, невидимого при просмотре в git diff
  5. OpenNews: Уязвимость в Git, Subversion и Mercurial, допускающая подстановку команд через URL ssh://
  6. OpenNews: Выпуск Git 2.4.11, 2.5.5 и 2.6.6 и 2.7.4 с устранением критических уязвимостей
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: git
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Андрей, 23:51, 29/05/2018 [ответить] [смотреть все]    [к модератору]
  • –2 +/
    > всех поддерживаемых веток системы управления исходными текстами Git (2.17.1, 2.13.7, 2.14.4, 2.15.2, 2.16.4)

    $ gitk origin/ [tab-tab]
    origin/HEAD     origin/maint    origin/master   origin/next     origin/pu       origin/todo

    Где они?

     
     
  • 2.2, Аноним, 00:47, 30/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +5 +/
    Очевидно, в виде тэгов, которые ты не осилил.
     
     
  • 3.4, Андрей, 08:59, 30/05/2018 [^] [ответить] [смотреть все]     [к модератору]
  • –1 +/
    Причём тут тэги Как можно какой-то код поддерживать, если его нет в соответству... весь текст скрыт [показать]
     
     
  • 4.5, Аноним, 09:11, 30/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    При том, что тег это легкая ветка, RTFM
     
     
  • 5.28, Аноним, 23:54, 01/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Нет в гите легких и тяжелых веток Ветка - это файл в директории git refs heads... весь текст скрыт [показать]
     
  • 3.7, Аноним, 12:33, 30/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    А чем тег легче ветки? Тем, что его надо вручную двигать?
     
     
  • 4.9, Andrey Mitrofanov, 13:31, 30/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Децкий сааад Тем, что его _не_ надо двигать ... весь текст скрыт [показать]
     
     
  • 5.10, Аноним, 14:24, 30/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Дяденька взрослый, объясните тогда несмышлёнышу, если тег не двигать, как же он ... весь текст скрыт [показать]
     
     
  • 6.11, Andrey Mitrofanov, 14:36, 30/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Про ветки я не говорил Я говорил, что таг двигать _не_ надо Какое слово не пон... весь текст скрыт [показать]
     
     
  • 7.13, Аноним, 14:46, 30/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    Так я и хотел, чтобы тот доброхот объяснил, что он в виду имел Жаль, веткой оши... весь текст скрыт [показать]
     
     
  • 8.14, Andrey Mitrofanov, 14:53, 30/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Ну, и славно Я победил двух анОнимов-засерь успех ... весь текст скрыт [показать]
     
     
  • 9.16, Аноним, 14:57, 30/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Разблокировано достижение "В каждой бочке затычка".
     
     
  • 10.17, Andrey Mitrofanov, 15:01, 30/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Достижение сомнительное Но, поздравляю, чо, за неимением лучшего ... весь текст скрыт [показать]
     
  • 6.12, Andrey Mitrofanov, 14:39, 30/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Децкий сааад Только, когда читать научишься Это сложно -- нужно тренероват... весь текст скрыт [показать]
     
     
  • 7.15, Аноним, 14:54, 30/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Писать правильно научитесь, дяденька, потом поучайте Паучат ... весь текст скрыт [показать]
     
     
  • 8.18, Ydro, 18:20, 30/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Бабий аргумент это перевод спора в другую плоскость Причём, по женской она ж... весь текст скрыт [показать]
     
     
  • 9.19, Andrey Mitrofanov, 18:37, 30/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Строение половых органов и или секс -идентификация совершенно не при чём Ему не... весь текст скрыт [показать]
     
     
  • 10.20, Аноним, 19:19, 30/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    А читать научись и нужно тренероваться - это что ли аргументация Или всё-та... весь текст скрыт [показать]
     
     
  • 11.21, Andrey Mitrofanov, 19:39, 30/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > А "читать научись" и "нужно тренероваться" - это что ли аргументация? Или

    Это тонкий, почти незаметный и истончённый!, намёк на то, что там написано не то, что показалось-придумалось.

    > всё-так переход на личности? Получается, записной тролль Митрофанов сам первый перешёл

    Да, намёки оскорбительны и дб запрещены Праилами.

    > на личности. И сей недостойный поступок ещё и "украсил" орфографической ошибкой.

    Ну, безграмотный пейзанин и нерусь,  дальше то что?

    Дальше вывод, что выводы, высосанные из пальцА -- можно и хорпошо.

    Консенсус. Расходимся.

     
  • 2.8, Andrey Mitrofanov, 13:30, 30/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    >> всех поддерживаемых веток системы управления исходными текстами Git (2.17.1, 2.13.7, 2.14.4, 2.15.2, 2.16.4)
    > $ gitk origin/ [tab-tab]
    > origin/HEAD     origin/maint    origin/master  
    > origin/next     origin/pu      
    >  origin/todo
    > Где они?

    Брысь!

    git branch --contains v2.17.1
    git describe --tags maint
    git log --decorate -1 v2.17.1

     
     
  • 3.22, Андрей, 01:08, 31/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    >> Где они?
    > Брысь!

    Тэги - брысь?

    $ git branch --contains v2.13.7
    * master
    $ git branch --contains v2.14.4
    * master
    $ git branch --contains v2.15.2
    * master
    $ git branch --contains v2.16.4
    * master
    $ git branch --contains v2.17.1
    * master

    Всё то, что ожидаешь в maint находится в... master!?

    $ git describe --tags maint
    fatal: Not a valid object name maint
    $ git describe --tags origin/maint
    v2.17.1

    О, 2.17.1 и в maint есть. Так в master или maint?

    $ git log --decorate -1 v2.17.1
    commit fc54c1af3ec09bab8b8ea09768c2da4069b7f53e (tag: v2.17.1, origin/maint)
    Author: Junio C Hamano <gitster@pobox.com>
    Date:   Tue May 22 14:28:26 2018 +0900

        Git 2.17.1
        
        Signed-off-by: Junio C Hamano <gitster@pobox.com>

     
     
  • 4.23, anonymous, 08:52, 31/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    > О, 2.17.1 и в maint есть. Так в master или maint?

    Прикинь, один и тот же коммит может быть в нескольких ветках. Убивают, караул.

     
  • 4.24, Andrey Mitrofanov, 09:41, 31/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >>> Где они?
    >> Брысь!
    > $ git branch --contains v2.17.1
    > * master

    git branch -a --contains v2.17.1

    > Всё то, что ожидаешь в maint находится в... master!?

    Подрастёшь...

    >Так в master или maint?

    ...узнаешь.

    > $ git log --decorate -1 v2.17.1
    > commit fc54c1af3ec09bab8b8ea09768c2da4069b7f53e (tag: v2.17.1, origin/maint)

     
     
  • 5.25, Андрей, 16:16, 31/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Я знаю, что если мне надо посмотреть комиты стабильной или oldstable ветки какого ПО, то я делаю gtik origin/gtk-3-22, origin/gtk-3-20. KISS.
    А как мне в gitk увидеть историю комитов 2.13.0 .. 2.13.7 уже не очевидно.
     
  • 5.26, Андрей, 16:48, 31/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    https git-scm com docs gitworkflows _maintenance_branch_management_after_a_fea... весь текст скрыт [показать]
     
     
  • 6.27, Andrey Mitrofanov, 18:11, 31/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Чётко: хотите сопровождать старые релизы: создавайте соответствующие ветки.
    > Почему же сами разработчики git используют какую-то другую технику, и где она
    > описана?

    Очевидно же, что они, "разработчики", совсем не хотят "сопровождать".

    Пусть кто-нибудь-другой.(ц)Гомер

    Они, как Торрвальдс[I]!

     
     
  • 7.29, Андрей, 00:17, 03/06/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Не только мне надо подрасти. И у тебя познания быстро закончились. Ну, ничего, подрастёшь, когда-нибудь узнаешь.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor