The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Вместо Python 3.5.8 по ошибке распространялась некорректная версия

31.10.2019 10:05

Из-за ошибки при организации кэширования в системе доставки контента, при попытке загрузки одной из сборок опубликованного позавчера корректирующего выпуска Python 3.5.8 распространялась предварительная сборка, не содержащая всех исправлений. Проблема затронула только архив Python-3.5.8.tar.xz, сборка Python-3.5.8.tgz распространялась корректно.

Всем пользователям, загружавшим файл "Python-3.5.8.tar.xz" в первые 12 часов после релиза, рекомендуется проверить корректность загруженных данных по контрольной сумме (MD5 4464517ed6044bca4fc78ea9ed086c36). В отличие от финального релиза, предварительная версия не включала исправление уязвимости CVE-2019-16935 в коде сервера XML-RPC. Уязвимость допускала подстановку JavaScript-кода (XSS) через поле server_title из-за отсутствия экранирования угловых скобок. Атакующий мог добиться подстановки JavaScript-кода в случае, если приложение осуществляет установку имени сервера на основе пользовательского ввода (например, "server.set_server_name('test<script>')").

Дополнение: Выпущен Python 3.5.9, который полностью аналогичен версии 3.5.8 и опубликован только из-за вышеотмеченных проблем с сетью доставки контента.

  1. Главная ссылка к новости (https://www.mail-archive.com/p...)
  2. OpenNews: Выпуск Python 2.7.17
  3. OpenNews: Выпуск языка программирования Python 3.8
  4. OpenNews: Релиз PyPy 7.2, реализации Python, написанной на языке Python
  5. OpenNews: Недоработка в Python-скрипте могла привести к неверным результатам в более 100 публикациях по химии
  6. OpenNews: Намечена большая чистка стандартной библиотеки Python
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: python
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (46) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:11, 31/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +53 +/
    Не успел Гвидо выйти на пенчию, и уже бардак.
     
     
  • 2.6, Аноним (-), 10:40, 31/10/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Милостиво дозволяю поднять ему пенсионный возраст персонально до 90 лет!
     
     
  • 3.39, SOska (?), 08:52, 01/11/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что ты такое что бы что то кому то позволять
     
     
  • 4.49, А это тоже (?), 07:49, 04/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Правильно, или всем или никому
     
  • 4.50, fx (ok), 13:51, 07/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    что какое бы, что какое то, кому какое то?
     
  • 2.14, Аноним (14), 11:23, 31/10/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Он уже год как ни ногой в питон-разработку. Видел, что там творится.
     
  • 2.16, fi2fi (?), 11:23, 31/10/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    скорей кто то провел атаку CDN, чисто из научного интереса )))))
     
     
  • 3.25, Аноним (25), 13:04, 31/10/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Скорее кто-то (возможно какая-то корпорация через подставных лиц) заплатил, за атаку на какую-то известную ему инфраструктуру. Возможно просто дал на лапу одному из админов, но сути это не меняет.
     

  • 1.2, мамкин ИБэксперт (?), 10:31, 31/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    >контрольной сумме (MD5 4464517ed6044bca4fc78ea9ed086c36)

    MD5 небезопасен

     
     
  • 2.3, Аноним (3), 10:33, 31/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Даешь SHA512!
     
  • 2.4, Аноним (4), 10:37, 31/10/2019 [^] [^^] [^^^] [ответить]  
  • +25 +/
    Если кто-то подобрал коллизию и выложил свой вариант Питончика с тем же MD5, то ему самое время занять пост Гвидо :)
     
     
  • 3.40, SOska (?), 08:59, 01/11/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так мд5 на практике безопасна, все врали?
     
     
  • 4.42, Аноним84701 (ok), 17:47, 01/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Так мд5 на практике безопасна, все врали?

    Не, то специально объявляли для хвостатых покорителей WWW-джунглей, использовавших микроскоп вместо молотка, а MD5 для "шифрования" паролей.

    А для безопасТности там предлагают делать gpg --verify.


     

  • 1.5, Аноним (-), 10:39, 31/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Будьте гетеросексуальными белыми мужчинами! Пользуйте git, или хотя бы sudo apt-get install!
     
     
  • 2.7, Andrey Mitrofanov_N0 (??), 10:41, 31/10/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Будьте гетеросексуальными белыми мужчинами! Пользуйте git, или хотя бы

    Для бинарных .tar.xz сборок?  Вы, мужчина, не из Микрософт Гитхаба к нам сюда?

     
     
  • 3.9, Аноним (9), 11:00, 31/10/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ты не осилил git archive?
     
     
  • 4.12, neAnonim (?), 11:10, 31/10/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А ты?
    https://github.com/git/git/commit/ee27ca4a781844ddbf556ec64daae24d748a7c5a

    Это должно быть включено и не все так однозначно или ты с левых зеркал качаешь? Гораздо больше телодвижений, чем просто скачать xz.

     
     
  • 5.29, Аноним (29), 14:17, 31/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Local requests continue to use get_sha1, and are not
    > restricted at all.
     
  • 2.11, neAnonim (?), 11:04, 31/10/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    1) в apt-get точно как же может быть закеширована неверная версия. Ошибка на стороне CDN
    2) архив весит ~20 mb. git...  весит сильно больше, для проекта как python это нецелесообразно. И после скачивания это еще нужно распространить.

    Ни чувства юмора, ни мозгов.

     
     
  • 3.15, Аноним (15), 11:23, 31/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    1. Не может, т.к. apt проверит конрольную сумму и рванёт.
    2. Разработчики без git не бывают. Хотя, я не приветствую использование git для распространения бинарников.
     
     
  • 4.18, neAnonim (?), 11:50, 31/10/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я имел в виду что полный git-tree может весить много и возможность взять только срез может быть заблокирована или невозможна.
    (ps Я не знаю сколько весит и мне лень смотреть)
    (apt, pkg, итд. Как по мне созданы для этого)
     
     
  • 5.26, rshadow (ok), 13:07, 31/10/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    git clone --depth 1 ...
     
     
  • 6.35, neAnonim (?), 17:57, 31/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ... не знал. Ок теперь я дочитаю документацию по git.
     
     
  • 7.43, Аноним (43), 19:57, 01/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    хаха, дочитаю... удачи.
     
  • 2.19, iPony129412 (?), 11:52, 31/10/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Сейчас модно так https://www.microsoft.com/en-us/p/python-38/9mssztt1n39l?activetab=pivot:overviewtab
     
  • 2.34, Anonymoustus (ok), 16:22, 31/10/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://ru.wiktionary.org/wiki/пользовать
     

  • 1.8, Аноним (8), 10:43, 31/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >В отличие от финального релиза предварительная версия не включала исправление уязвимости CVE-2019-16935 в коде сервера XML-RPC.
    >Из-за ошибки
    >ошибки

    Всё, лишь бы не признавать, что CDNы либо сделают всё, что им скажет государство, либо будут заблокированы и вылетят с рынка.

     
     
  • 2.10, Аноним (9), 11:01, 31/10/2019 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > всё, что им скажет государство

    Не государство, а рептилоиды.

     
     
  • 3.31, Аноним (31), 15:00, 31/10/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> всё, что им скажет государство
    >
    > Не государство, а рептилоиды.

    А кто возглавляет все государства?

     
  • 2.13, neAnonim (?), 11:12, 31/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Отправляйся в атаку на CDN, спаси нас.
     

  • 1.22, Аноним (22), 12:52, 31/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Всегда считал людей что выкладывают различные sha суммы, и gpg подписи и при это... текст свёрнут, показать
     
     
  • 2.28, Аноним84701 (ok), 13:32, 31/10/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А сперва почитать новость и только лишь потом комментировать 8211 уже не модн... текст свёрнут, показать
     
     
  • 3.30, Аноним (22), 14:43, 31/10/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты же понимаешь что он залил исправленный файл архив с таким же именем как и старый, люди не заметят и так сойдёт? Иначе никакого "cdn caching" не могло бы быть. Иными словами архив релиза из устаревших сорцов. Нельзя загрузить пистон 358 RC/beta/gamma по ссылке пистона 358 release физически никак, если только мистер кривые ручки сам не накосячил, признаваться конечно стыдно.
     
     
  • 4.32, Аноним84701 (ok), 15:10, 31/10/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Ты же понимаешь что он залил исправленный файл архив с таким же
    > именем как и старый, люди не заметят и так сойдёт? Иначе
    > никакого "cdn caching" не могло бы быть.

    Ты же понимаешь, что вот это и "аналитика" в #22 – две большущие разницы?

     
  • 2.44, Аноним (43), 20:00, 01/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    пох, ты что ли? пиши под собственным ником, чтоб твои посты было проще вырезать.
     

  • 1.23, Аноним (22), 12:59, 31/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    What should you do?  It's up to you.

    * If you and your users aren't using the XMLRPC library built in to
       Python, you don't need to worry about which version of 3.5.8 you
       downloaded.
    * If you downloaded the .tgz tarball or the Git repo, you already have
       the correct version.
    * If you downloaded the xz file and want to make sure you have the
       fix, check the MD5 sum, and if it's wrong download a fresh copy (and
       make sure that one matches the known good MD5 sum!).

    To smooth over this whole sordid mess, I plan to make a 3.5.9 release in the next day or so.  It'll be identical to the 3.5.8 release; its only purpose is to ensure that all users have the same updated source code, including the fix for #38243.


    Sorry for the mess, everybody,


    //arry/


    Господи каким же ЧСВ от человека пахнет, даже через океаны смердит. Обпоносился на отлично виноват во всем CDN.

     
     
  • 2.24, Аноним (22), 13:01, 31/10/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > It'll be identical to the 3.5.8 release

    Типичный пример drag&drop developers, вот так он и заливал файл со своего макбука, запутался в finder, не удобно им пользоваться понимаю.

     
  • 2.27, Аноним (25), 13:09, 31/10/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А что ему теперь на пенсию уходить раз Акелла промахнулся? На то и сервер чтобы его ронять. На то и обновления чтобы в них косячить.
     
  • 2.45, Аноним (43), 20:05, 01/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Release Management workflow mutafaka, do you have it?!!!
    как можно было кривую бэту выпустить в архиве с тем же названием что и релиз? как?!!!
     

  • 1.33, виндотролль (ok), 16:02, 31/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Небось в скриптах для сборки (написанных, конечно же, на питоне) где-то пролетела незамеченной ошибка
    list object has no attribute 'latestTag'

    А так да, хороший язык, и отступы интересные.

     
  • 1.37, некто_c_другой_версии (?), 08:47, 01/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    а кто-нибудь собирает subj из исходников?
    На нашей планете таких очень мало.
    А на вашей?
     
     
  • 2.46, Аноним (43), 20:11, 01/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    примерно 10% (sourcebased) от 2% (linux/bsd/etc) пользователей ПК, хотя эту сумму тоже можно на 3 разделить, т.к. нет смысла каждую минорную версию питона собирать. В абсолютных значениях получается приличная цифра.
     
     
  • 3.47, Аноним (43), 20:21, 01/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    т.е. более миллиона человек, по грубым прикидкам. хотя, если учитывать автоматизацию и всякие CI инфраструктуры, цыфра непосредственно случаев сборки может быть на порядки выше.
     

  • 1.38, некто_c_другой_версии (?), 08:47, 01/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    а кто-нибудь собирает subj из исходников?
    На нашей планете таких очень мало.
    А на вашей?
     
  • 1.41, Онаним (?), 17:20, 01/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В отличие от финального релиза, предварительная версия не включала исправление уязвимости CVE-2019-16935

    Тут не хватает "совершенно случайно".

     
  • 1.48, cutlass (?), 01:17, 02/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Вот до чего отступы доводят.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру