https://89.19.215.112/openforum/vsluhforumID3/124122.html В менеджере зависимостей Composer выявлена критическая уязвимость (CVE-2021-29472), позволяющая выполнить произвольные команды в системе при обработке пакета со специально оформленным значением URL, определяющим адрес для загрузки исходных текстов. Проблема проявляется в компонентах GitDriver, SvnDriver и HgDriver, применяемых при использовании систем управления исходными текстами Git, Subversion и Mercurial. Уязвимость устранена в выпусках Composer 1.10.22 и 2.0.13...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55065<br> https://89.19.215.112/openforum/vsluhforumID3/124122.html#79 Mon, 10 May 2021 18:34:10 GMT &gt;которые выполняются при помощи вызова "fromShellCommandline" с передачей аргументов командной строки.<br><br>Уж сколько раз твердили миру:<br><br>юзайте API &#124;&#124; RPC &#124;&#124; передавайте аргументы через конфиг-файл/трубу &#124;&#124; реализуйте, еслине реализовано &#124;&#124; GTFO.<br><br>Но there is a sucker born every minute, желающие и ведущиеся на лёгкие пути не мамонты и не вымрут никогда.<br> https://89.19.215.112/openforum/vsluhforumID3/124122.html#78 Fri, 07 May 2021 18:27:02 GMT &gt; Надо понимать код ты пишешь не руками, а теми самыми сантиметрами которыми <br>&gt; собрался меняться.<br><br>Надо понимать, что ты не оставляешь надежды померяться коммитами?<br> https://89.19.215.112/openforum/vsluhforumID3/124122.html#77 Fri, 07 May 2021 06:29:52 GMT Надо понимать код ты пишешь не руками, а теми самыми сантиметрами которыми собрался меняться. <br> https://89.19.215.112/openforum/vsluhforumID3/124122.html#76 Thu, 06 May 2021 11:38:53 GMT &gt; Гарантированно заэкранировать всё - можно. И надо-то для этого всего лишь руки не из задницы иметь.<br>&gt; Кудох-тох-тох, эти анонимные эксперты с опеннета<br><br>Ты так и не понял, к чему это было написано, горе-разраб...<br><br>&gt; И вообще, сколько комитов вы уже сделали в composer? Покажите их.<br><br>Разраб композера, залогинься. Все равно у меня длиннее - не в коммитах, а в нормальных сантиметрах. <br> https://89.19.215.112/openforum/vsluhforumID3/124122.html#75 Wed, 05 May 2021 06:18:11 GMT То есть вы предлагаете оплатить исправление уже исправленой уязвимости, оплатить неизвестно кому, кто с 99.9% вероятностью ничего сложного на php не писал, при этом с бесконечными сроками? <br><br>И вообще, сколько комитов вы уже сделали в composer? Покажите их.<br> https://89.19.215.112/openforum/vsluhforumID3/124122.html#74 Wed, 05 May 2021 05:36:06 GMT За деньги я и сама могу. <br> https://89.19.215.112/openforum/vsluhforumID3/124122.html#72 Tue, 04 May 2021 17:21:50 GMT А что, готишно... Свиток с графом зависимостей, аккуратно свешивающийся из стоящего на полке черепа... товарищмайор, возможно, не совсем одобряют охоту за головами, но, с другой стороны, много ведь и не надо. А этим, из "Сети", пару голов ведь простили и отпустили... это ж не грибы на погибель мировому империализму растить, а просто пара подвернувшихся под руку неудачников...<br><br>Я бы штук семь, пожалуй, собрал, для красивого числа.<br><br> https://89.19.215.112/openforum/vsluhforumID3/124122.html#69 Mon, 03 May 2021 19:37:15 GMT C npm было ещё хуже, в нём package-manager-agnostic дырень проявилась.<br>Которая задела не только npm, а все недопакетные недоменеджеры по касательной.<br>Потому что сама платформа изначально делана кривыми ногами.<br><br>CVE-2019-16776<br>CVE-2019-16777<br> https://89.19.215.112/openforum/vsluhforumID3/124122.html#68 Mon, 03 May 2021 18:13:28 GMT &gt; всё ещё на слакваре?<br><br>lfs<br>