The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

06.10.2015 08:56  В Git устранено несколько уязвимостей

Опубликованы корректирующие обновления Git 2.6.1, 2.5.4, 2.4.10 и 2.3.10 в которых устранены две уязвимости. Первая проблема присутствует в xdiff и связана с возникновением целочисленного переполнения при обработке файлов со слишком большим числом строк. Вторая уязвимость присутствует в реализации некоторых протоколов, таких как git-remote-ext, и позволяет выполнить произвольный код при обработке специально оформленных URL (например, URL может быть получен из внешних репозиториев в файлах .gitmodules ).

  1. Главная ссылка к новости (https://lkml.org/lkml/2015/10/...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: git
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, 80 (?), 09:22, 06/10/2015 [ответить] [показать ветку] [···]    [к модератору]
  • –3 +/
    Няшная сишечка.
     
     
  • 2.3, Аноним (-), 09:38, 06/10/2015 [^] [ответить]    [к модератору]
  • +16 +/
    Она писала на себе код программистами, и накосячила.
     
  • 2.4, Аноним (-), 11:02, 06/10/2015 [^] [ответить]     [к модератору]
  • +1 +/
    ага уязвимостей не больше, чем в каком-нибудь похапе или яве, а скорость работы... весь текст скрыт [показать]
     
     
  • 3.5, Антоний (?), 11:22, 06/10/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    Но похапе тоже написано на няшной сишке. А JVM на C++.
     
     
  • 4.8, Аноним (-), 13:09, 06/10/2015 [^] [ответить]    [к модератору]  
  • +8 +/
    Rust на rust-e
     
  • 3.13, Нимано (?), 16:47, 06/10/2015 [^] [ответить]    [к модератору]  
  • +2 +/
    > а уж если учесть, что те, кто программировать не умеют, к сишечке не приближаются и на дистанцию выстрела,

    Очередной анонимус диванус аналитикус?
    От того, что студенты теперь начинают с жабы и лишь потом берутся за Си, код лучше ну никак не становится.

    А уж несчетное количество лисапедов и костылей самопровозглашенных "труЪ пограмистов" на Си вообще несчесть – типа -цати раз копирования данных по буферам и классического "realloc oldsize+1", самодельного поиска строк, замены хэш-таблиц самодельными костылями на массивах и т.д.

     
     
  • 4.15, Crazy Alex (ok), 18:06, 06/10/2015 [^] [ответить]    [к модератору]  
  • +3 +/
    Криворуков везде хватает, от ынтырпрайзных кластеров до эмбеда. Но в общем случае когда человек сам побьётся о результаты того, что вы описали - профи из него получается лучший, чем из тех, кто только интефрейсы писанного другими дёргать умеет.

    С другой стороны - лучше всё же плюсы. Современные.

     
  • 4.16, анон (?), 22:17, 06/10/2015 [^] [ответить]    [к модератору]  
  • –2 +/
    > студенты теперь начинают с жабы и лишь потом берутся за Си

    Берутся за Си единицы, так как за жабу платят в разы больше. Причём берутся те, кому это, по крайней мере, интересно, а не те, кто хочет что-нибудь написать, а кроме Си ничего не знает.

     
     
  • 5.17, Crazy Alex (ok), 23:08, 06/10/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    Только надо уточнить - джава-джуниорам платят больше (хоть и не в разы), чем джуниорам-сишникам. Потому что джава-джуниор под некоторым присмотром может выдавать вполне применимый к использованию код, а сишник-джуниор - это та ещё мина. А вот дальше - умение писать на C (а не просто знание синтаксиса и одна курсовая) даёт массу плюсов к программированию на чём угодно, так как есть некое понимание "как оно устроено".
     
     
  • 6.20, Аноним (-), 10:45, 07/10/2015 [^] [ответить]    [к модератору]  
  • +/
    Я всё ожидал дочитывая твое сообщение, что в конце будет "и матерый С-шник зарабатывает больше Ява-синьора", но...
     
     
  • 7.28, виндотролль (ok), 12:45, 08/10/2015 [^] [ответить]    [к модератору]  
  • +/
    > Я всё ожидал дочитывая твое сообщение, что в конце будет "и матерый
    > С-шник зарабатывает больше Ява-синьора", но...

    Матерый сишник Ява-синьор зарабатывает больше просто Ява-синора.
    Одно другому не мешает. И даже помогает.

    А матерый сишник, который говорит, что не будет учить жабу, потому что жаба — тормоз, по-моему, не лучше джава разработчика, который кроме джавы ничего не знает.

     
  • 2.6, IZh. (?), 12:00, 06/10/2015 [^] [ответить]    [к модератору]  
  • +4 +/
    Криво написать можно на чём угодно.
     
  • 2.7, ... (?), 12:32, 06/10/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    В C/C++, java, С# переполнение int есть.
    В Python нет (автоматом в long переведет).
    Создатели mercurial что-то знали.
    </troll-mode>
     
     
  • 3.9, Аноним (-), 13:10, 06/10/2015 [^] [ответить]    [к модератору]  
  • +5 +/
    Жаль что только "что-то".
     
     
  • 4.10, Мама Анонимуса (?), 13:17, 06/10/2015 [^] [ответить]    [к модератору]  
  • +/
    Ловко ты его затралил)))
     
     
  • 5.18, Твой Сникерс (?), 08:11, 07/10/2015 [^] [ответить]    [к модератору]  
  • +/
    не разговаривай с полным ртом
     
  • 3.11, виндотролль (ok), 13:18, 06/10/2015 [^] [ответить]    [к модератору]  
  • +3 +/
    > В Python нет (автоматом в long переведет).

    а еще dog — в duck
    shoe — в butter
    shit — в apple
    и даже не намекнет о том, что это сделал.

    В итоге в каком-то месте, можно вместо утки с яблоками приготовить собачью печень, обмазанную ботинками с кусочками говна в качестве топинга и узнать об этом только когда все уже сьедено.

    Я бы в большом проекте предпочел переполнение int тому количество магии, которое встречается в python.

     
     
  • 4.21, Аноним (-), 21:14, 07/10/2015 [^] [ответить]     [к модератору]  
  • –2 +/
    И это именна та причина, по которой тебя к большому проекту не подпустят на пуше... весь текст скрыт [показать]
     
     
  • 5.22, виндотролль (ok), 01:12, 08/10/2015 [^] [ответить]    [к модератору]  
  • +/
    > И это именна та причина, по которой тебя к большому проекту не
    > подпустят на пушечный выстрел: ты не в состоянии адекватно оценивать приемлимость
    > рисков, мыслишь абсолютными категориями и практикуешь стереотипное мышление.

    Я конечно, понимаю, что все здесь — анонимы. Я и, как аноним, не лучше тебя, аноним.

    Но где-то в цепочке твоих суждений, вероятно, есть ошибка, т.к. конкретно в моем случае твое заключение неверно.

    > ты не в состоянии адекватно оценивать приемлимость
    > рисков, мыслишь абсолютными категориями и практикуешь стереотипное мышление

    И вообще, повторять фразы выученные у умных людей, не понимая их сути — очень глупо. Ты ведь не мог придумать этого сам, основываясь лишь на моей нелюбви к языкам со слабой типизацией.

     
     
  • 6.24, Нимано (?), 02:41, 08/10/2015 [^] [ответить]    [к модератору]  
  • +/
    > основываясь лишь на моей нелюбви к языкам со слабой типизацией.

    т.е. вы не любите Си? 8-o
    Или все таки языки с динамической типизацией?

     
     
  • 7.26, виндотролль (ok), 11:44, 08/10/2015 [^] [ответить]    [к модератору]  
  • +/
    >> основываясь лишь на моей нелюбви к языкам со слабой типизацией.
    > т.е. вы не любите Си? 8-o
    > Или все таки языки с динамической типизацией?

    Конечно, динамической, спасибо.

    Но, в целом, я бы, скорее, предпочел не использовать и динамическую, и слабую типизацию в контексте больших проектов по дефолту.
    Первую, потому что мне кажется более удобным знать об ошибках до исполнения кода.
    Вторую, потому что это исключает умышленные или неумышленные хаки, которые тяжело понимать и поддерживать.

    Конечно, все зависит от задач, которые приходится решать.

    Например, некоторые задачи на обработку огромных строк на codechef имеют очень элегантные решения на С, которые просто невозможны с той же, скажем, джавой.

    Я и не против питона в проектах, где легко запоминить где что принимается и возвращается. Признаюсь, больших проектов на питоне я воочию не видел. Знаю, что они есть, но как люди умудряются такие проекты рефакторить и поддерживать, для меня загадка.

     
  • 4.23, Аноним (-), 01:15, 08/10/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    Толще! Толще!

    Своими словами ты только показал полное незнание внутреннего устройства Питона.

     
     
  • 5.27, виндотролль (ok), 12:37, 08/10/2015 [^] [ответить]    [к модератору]  
  • +/
    Внутреннее устройство я не знаю, да. Я знаю, что я могу передать в метод все что угодно, и пока у переданного есть методы, сигнатуры которых совпадают с теми, что я вызываю, код будет работать.

    Понятно, что всегда можно апеллировать к культуре разработки, юнит-тестам и пр.. Но я лишь высказал свое мнение. Кому-то питон нравится — ок.

     
  • 2.12, Аноним (-), 13:32, 06/10/2015 [^] [ответить]    [к модератору]  
  • +7 +/
    На C написаны Linux и Git, их написал Линус, а Линус - хороший. Поэтому C - хороший язык, а кто критикует C - тот плохой.
     
     
  • 3.19, Аноним (-), 08:51, 07/10/2015 [^] [ответить]    [к модератору]  
  • +/
    Все ТакЪ!
     
  • 3.25, Вареник (?), 11:34, 08/10/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    Можно подставить любую OS и смысл останется тем же :)

    Борьба против С - это как борьба с ветряными мельницами.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor