https://opennet.me/openforum/vsluhforumID3/107188.html Представлены (https://lkml.org/lkml/2016/3/17/635) корректирующие выпуски всех поддерживаемых веток системы управления исходными текстами Git 2.4.11, 2.5.5 и 2.6.6 и 2.7.4, в которых устранены критические уязвимости (CVE-2016-2324 (https://security-tracker.debian.org/tracker/CVE-2016-2324) и CVE-2016&#8209;2315 (https://security-tracker.debian.org/tracker/CVE-2016-2315)), потенциально позволяющие атакующему, имеющему доступ к Git-репозиторию, организовать выполнение своего кода на стороне клиента или сервера (рабочий эксплоит пока не зафиксирован). <br><br><br>Информация об уязвимостях была раскрыта (https://www.opennet.ru/opennews/art.shtml?num=44052) несколько дней назад, при этом выявивший уязвимость разработчик был уверен, что уязвимости были устранены в начале февраля в выпуске 2.7.1. На деле, оказалось (http://www.openwall.com/lists/oss-security/2016/03/16/9), что патчи (1 (http://thread.gmane.org/gmane.comp.version-control.git/286253), 2 (http://thread.gmane.org/gmane.comp.version-control.git/286008)) были пр https://opennet.me/openforum/vsluhforumID3/107188.html#19 Fri, 25 Mar 2016 23:26:50 GMT 2 миллиарда символов в полном имени файла это обычно для "одностраничного жс ангулар веб приложения" приложения?<br> https://opennet.me/openforum/vsluhforumID3/107188.html#17 Fri, 18 Mar 2016 22:14:52 GMT &gt; А на хабре есть мнение что слухи о критичности несколько преувеличены. Чтобы <br>&gt; это проэксплуатировать, надо клиенту путь более 2 гигабайтов в размере влить. <br>&gt; Удачи в эксплойтировании.<br><br>На Хабре зря не скажут, да.<br><br>Там понимаешь эксперты, вот примерный кусок разговора с Хабра:<br><br>"... два ... мужика, стоявшие у дверей кабака против гостиницы, сделали кое-какие замечания, относившиеся, впрочем, более к экипажу, чем к сидевшему в нем.<br><br>"Вишь ты, - сказал один другому, - вон какое колесо! Что ты думаешь, доедет то колесо, если б случилось, в Москву или не доедет?" - "Доедет", - отвечал другой.<br><br>"А в Казань-то, я думаю, не доедет?" - "В Казань не доедет", - отвечал другой."(С)<br><br>Николай Васильевич Гоголь, "Мертвые души"<br> https://opennet.me/openforum/vsluhforumID3/107188.html#16 Fri, 18 Mar 2016 22:09:47 GMT &gt; В сизифе собранный вчера 2.6.6.<br><br>Мишаня, это здорово, что уже вчера собрали! А дырочка-то с какого времени существует?<br> https://opennet.me/openforum/vsluhforumID3/107188.html#15 Fri, 18 Mar 2016 22:07:11 GMT &gt; Сорсфорж и так в блеклистах проходит как malware domain, за добавление троянов <br>&gt; в инсталлеры. Им терять уже нечего.<br><br>Ты не понял, это не трояны, а помощники. Всё делается только для удобства пользователей.<br> https://opennet.me/openforum/vsluhforumID3/107188.html#14 Fri, 18 Mar 2016 22:05:33 GMT Тысячи глаз...<br><br>"Спи, глазок, спи, другой! А о третьем глазке и забыла"(С)<br><br>Вот третий глазок и высмотрел дырочку, такую, размерчиком с амбарные воротца. И пофиксил он её, дырочку эту. Тут и сказке конец, а кто слушал молодец!<br> https://opennet.me/openforum/vsluhforumID3/107188.html#13 Fri, 18 Mar 2016 20:29:12 GMT &gt; Использование в Git strcpy и попытка исправления заменой на memcpy ... навивает на грустные мысли<br><br>Нет. Старшеклассники над тобой подшутили.<br> https://opennet.me/openforum/vsluhforumID3/107188.html#12 Fri, 18 Mar 2016 19:27:02 GMT Вполне себе обычный размер для одностраничного жс ангулар веб приложения - сайта визитки.<br> https://opennet.me/openforum/vsluhforumID3/107188.html#11 Fri, 18 Mar 2016 17:59:53 GMT А на хабре есть мнение что слухи о критичности несколько преувеличены. Чтобы это проэксплуатировать, надо клиенту путь более 2 гигабайтов в размере влить. Удачи в эксплойтировании.<br> https://opennet.me/openforum/vsluhforumID3/107188.html#10 Fri, 18 Mar 2016 17:36:06 GMT В сизифе собранный вчера 2.6.6.<br>