https://www.solaris.opennet.ru/openforum/vsluhforumID3/111958.html Во всех популярных системах управления версиями, поддерживающих обращение к репозиторию через SSH, выявлена (http://blog.recurity-labs.com/2017-08-10/scm-vulns) уязвимость, позволяющая выполнить любую команду в системе при попытке обработки специально оформленной ссылки на репозиторий с URL "ssh://". Проблема уже устранена в Git 2.14.1-2.7.6 (https://lkml.org/lkml/2017/8/10/757) (CVE-2017-1000117 (https://security-tracker.debian.org/tracker/CVE-2017-1000117)), Subversion 1.9.7 (http://openwall.com/lists/oss-security/2017/08/10/3) (CVE-2017-9800 (https://security-tracker.debian.org/tracker/CVE-2017-9800)) и Mercurial 4.3 (https://www.mercurial-scm.org/wiki/WhatsNew#Mercurial_4.3_.282017-08-10.29) (CVE-2017-1000116 (https://security-tracker.debian.org/tracker/CVE-2017-1000116)), а также в коде GitHub и GitLab (https://about.gitlab.com/2017/08/10/gitlab-9-dot-4-dot-4-released/). Не исключено, что уязвимость проявляется и в других приложениях, использующих URL "ssh://".<br><br><br>Суть уязвимости сводится к тому, что п https://www.solaris.opennet.ru/openforum/vsluhforumID3/111958.html#64 Sun, 10 Sep 2017 20:33:12 GMT &gt; он вероятно как раз в курсе, и здраво относит это к банальному неумению линуса и компании сделать хорошо и надежно<br><br>Это не "здраво", а как раз "больная фантазия фанатика". Иди ещё раз кури идеологию UNIX<br><br>&gt; дна проблема - даже этими внешними средствами он пользуется через задницу (потому что "авторизация" через ssh сваливает всех внешних юзеров в одну кучу,<br><br>Да ёмаё, ты похоже вообще не в курсе, как работает ssh. В такой ситуации рассказывать тебе про gitolite бесполезно<br><br>Если ты болезный ни разу в жизни не настраивал авторизацию для доступа к git, не надо нести бред в массы - кури доки<br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/111958.html#63 Sat, 02 Sep 2017 08:04:27 GMT указал в hosts<br>"-oProxyCommand=gnome-calculator -m advanced"<br>Работает, в ковычках можно даже параметры указать<br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/111958.html#62 Sat, 02 Sep 2017 07:46:33 GMT только что проверил на ansible, тоже работает<br>Глобальная проблема то<br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/111958.html#61 Mon, 14 Aug 2017 19:45:49 GMT &gt;&gt; Какая тебе разница? Если ты не пользуешься git over ssh, то тебя <br>&gt;&gt; эта уязвимость вообще никак не затрагивает. А если ты пользуешься, то <br>&gt; затрагивает - subrepo на сервере (своем или гитхабе) может "попользоваться" без твоего <br>&gt; ведома.<br><br>При чём тут "с ведома"? Если тебе понадобился ssh плагин, а его у тебя нет, то тебе придётся его ставить. Плагин, в данном случае -- это не более чем иллюзия контроля.<br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/111958.html#60 Mon, 14 Aug 2017 19:18:22 GMT &gt; Потому что Торвальдс не эксперт по безопасности. Он использовал самый простой путь. <br><br>он использовал самый кривой путь, какой только можно - и теперь, к сожалению, это стандарт навеки.<br><br>&gt; Нормально в SSL/TLS могут лишь профи, которым это интересно. Те, кто <br><br>нормально в ssl уметь не надо - stunnel (если уж вштырило ssl) или https о тебе позаботится.<br><br>Нормальная не-плэйнтекст авторизация и нормальная аутентификация, с нормальным разделением пользователей - без всякого криптотуннеля (если мне понадобится, туннель я сделаю без вас, на проверенных и надежных технологиях, а коммиты в паблик гитрепо вообще незачем прятать - но очень даже есть зачем точно знать кто коммитил) - это вот то, что никакой ssl за тебя не сделает. <br><br>Увы, что-то похожее есть разьве что в mysql, ни одной vcs с таким функционалом мне вообще неизвестно.<br><br>Все остальные либо тупейшим образом полагаются на внешние обертки, которые вовсе для этой цели не предназначены, и которые, к тому же, не умеют правильно готовить, как в данном слу https://www.solaris.opennet.ru/openforum/vsluhforumID3/111958.html#59 Mon, 14 Aug 2017 19:06:45 GMT &gt; Какая тебе разница? Если ты не пользуешься git over ssh, то тебя <br>&gt; эта уязвимость вообще никак не затрагивает. А если ты пользуешься, то <br><br>затрагивает - subrepo на сервере (своем или гитхабе) может "попользоваться" без твоего ведома. <br><br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/111958.html#58 Mon, 14 Aug 2017 19:03:44 GMT &gt; Иксперд, ты же в курсе, что в самом git вообще не предусмотрено ни шифрования, ни<br><br>он вероятно как раз в курсе, и здраво относит это к банальному неумению линуса и компании сделать хорошо и надежно. Что, конечно, не грех для средней руки менеджера и программиста, но, постойте-постойте... <br>&gt; авторизации, и эти задачи по определению перекладываются на внешние средства?<br><br>одна проблема - даже этими внешними средствами он пользуется через задницу (потому что "авторизация" через ssh сваливает всех внешних юзеров в одну кучу, слепо доверяя тому, что они о себе напишут внутри незащищенного и лишенного минимальной авторизации git-протокола - вот и гадай потом по таймстемпам, хто насрав - даже subversion еще умел при этом отдельно различать юзеров, но не подeлие линуса - потому что он, не умея пользоваться vcs, и категорически не желая учиться, годами принимал патчи в почту, и гит написан для автоматизации именно этой работы, а удаленный доступ к репо приделан на соплях левой задней ногой).<br><br>и остаются либо сны https://www.solaris.opennet.ru/openforum/vsluhforumID3/111958.html#57 Mon, 14 Aug 2017 16:12:41 GMT На вот, почитай https://git-scm.com/book/en/v2<br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/111958.html#56 Mon, 14 Aug 2017 16:08:44 GMT Иксперд, ты же в курсе, что в самом git вообще не предусмотрено ни шифрования, ни авторизации, и эти задачи по определению перекладываются на внешние средства?<br><br>Ты говоришь про ssh так, будто в git встроена реализация ssh или хотя бы ssh клиента. Хотя на само деле git работает внутри ssh туннеля<br><br>Ты говоришь про ssl, будто не знаешь, что кроме работы внутри ssh туннеля git так же прекрасно работает внутри любого другого защищённого туннеля. В том числе - через любой веб-сервер, настроенный с поддержкой кошерного TLS 1.2<br><br>Не путай тёплое с мягким, и над тобой не будут смеяться<br><br>Про идеологию unix что-нибудь слышал? git решает одну задачу и решает его хорошо. Авторизацию и шифрование обеспечивает другое ПО, с которым git взаимодействует<br>