https://opennet.dev/openforum/vsluhforumID3/115497.html Доступны (https://lkml.org/lkml/2018/10/5/904) внеплановые обновления Git 2.14.5, 2.15.3, 2.16.5, 2.17.2, 2.18.1 и 2.19.1, в которых устранена уязвимость (CVE-2018-17456 (https://security-tracker.debian.org/tracker/CVE-2018-17456)), позволяющая атакующему выполнить свой код через подстановку специально оформленного файла .gitmodules в составе проекта, клонируемого с рекурсивным включением субмодулей (проблема проявляется только при выполнении операции "git clone --recurse-submodules"). <br><br><br>Уязвимость вызвана тем, что извлекаемое из файла .gitmodules поле URL без проверки корректности значения передаётся в качестве аргумента в процесс "git clone". Если значение URL начинается с символа "-", то "git clone" обрабатывает его как опцию командной строки. Соответственно, злоумышленник имеет возможность через манипуляцию значением URL организовать выполнение произвольного скрипта в системе разработчика, выполняющего операцию клонирования.<br><br><br><br>В выпусках 2.17.2, 2.18.1 и 2.19.1 дополнительно добавлена fsck-провер https://opennet.dev/openforum/vsluhforumID3/115497.html#14 Fri, 12 Oct 2018 01:20:02 GMT Однако доля правды в его словах есть. "If it runs, it can be defeated" (c).<br> https://opennet.dev/openforum/vsluhforumID3/115497.html#13 Fri, 12 Oct 2018 01:19:04 GMT И таки кормить шелл внешними данными - затея очень так себе с точки зрения безопасности. Как-то так исторически.<br> https://opennet.dev/openforum/vsluhforumID3/115497.html#12 Mon, 08 Oct 2018 07:14:28 GMT Так тут одни клоуны сидят же .<br>Им лишь бы покукарекать .<br> https://opennet.dev/openforum/vsluhforumID3/115497.html#11 Sun, 07 Oct 2018 23:58:45 GMT https://github.com/git/git/blob/master/Documentation/technical/hash-function-transition.txt<br> https://opennet.dev/openforum/vsluhforumID3/115497.html#10 Sun, 07 Oct 2018 07:50:17 GMT Еще один отросток. Unix-way - это exec программ? Что за бред? Unix-way - это то, что модуль должен делать только то, для чего он предназначен (узкое предназначение), а не systemd. Принцип связности-сцепления модулей - вот, вкратце, о чем unix way.<br><br>https://en.wikipedia.org/wiki/Unix_philosophy#Rule_of_Modularity<br><br>Начитались опеннетов, потому ябутся в комментариях.<br> https://opennet.dev/openforum/vsluhforumID3/115497.html#9 Sun, 07 Oct 2018 07:47:43 GMT Лол, так либо API надо стандартизовывать, чтобы с ним могли работать, либо вывод командной строки/exit-кодов и прочей фигни, чтобы с этим так же можно было работать (только в разы неудобнее и менее стабильно). Коммент - полный бред, нужно делать нормальную библиотеку.<br> https://opennet.dev/openforum/vsluhforumID3/115497.html#8 Sun, 07 Oct 2018 05:49:59 GMT Когда они уже уйдут от использования SHA-1?<br> https://opennet.dev/openforum/vsluhforumID3/115497.html#7 Sat, 06 Oct 2018 20:16:29 GMT CLI - это тоже API, и довольно универсальный. Если не проверять и не чистить ввод, то какая разница каким образом он в программу попадает: в виде ключа, или, к примеру, как json? Все равно будут эксплойты. <br> https://opennet.dev/openforum/vsluhforumID3/115497.html#6 Sat, 06 Oct 2018 14:22:11 GMT Вы бы хоть немного понимали что-то в программировании и инфобезопасности, когда лезете рассказывать, кто кому чего должен...<br><br>API бывают точно так же проблемными. Пользователи точно так же могут напередавать. А самый безопасный контупер -- отключенный от сети и питания, залитый свинцом и захороненный под охраной трёх автоматчиков.<br>