URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 135782
[ Назад ]

Исходное сообщение
"Обновление Git с устранением уязвимостей"

Отправлено opennews , 15-Янв-25 15:06 
Опубликованы корректирующие выпуски распределённой системы управления исходным кодом Git 2.48.1, 2.41.3, 2.42.4, 2.43.6, 2.44.3,...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62561


Содержание

Сообщения в этом обсуждении
"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 15-Янв-25 16:41 
В новости нет информации когда эта уязвимость появилась.

Закладка?


"Обновление Git с устранением уязвимостей"
Отправлено 12yoexpert , 15-Янв-25 16:59 
man git blame

"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 15-Янв-25 17:46 
Сам не можешь посмотреть или это мыслепреступление?

"Обновление Git с устранением уязвимостей"
Отправлено Да ну нахер , 15-Янв-25 19:28 
You Must Not Do Your Own Research.

"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 15-Янв-25 19:46 
Ждём когда специально обученные люди выдадут нам правду в последней инстанции.

"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 15-Янв-25 21:51 
Давно пора.

"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 15-Янв-25 18:12 
> как обновиться через update-git-for-windows в рамках своей мажорной версии (например, с 2.47.1 до 2.47.2)? эксперты!

просто вызываешь эту команду, он тебе предложит обновиться именно таким образом


"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 15-Янв-25 18:21 
>2.41.3, 2.42.4, 2.43.6, 2.44.3, 2.45.3, 2.46.3, v2.47.2 и 2.48.1

А зачем столько? Кто объяснит, плиз.


"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 15-Янв-25 18:35 
Почему всего лишь столько?

Или эти уязвимости в 2.41 появились?


"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 15-Янв-25 18:36 
Я про версионирование.

"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 15-Янв-25 18:40 
Это типа ЛТС

"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 15-Янв-25 19:00 
Потому что в дистрах невозможно поставлять новый софт. Весь софт всегда завязан на общие библиотеки всей системы.  

"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 15-Янв-25 21:28 
Возможно, и в нормальных дистрибутивах только он и поставляется. Ни в каких зависимостях гита не ломали совместимость последние лет 5, поэтому любая из перечисленных версий соберётся с любыми зависимостями. Просто есть уроды, которые думают что использование устаревшего софта от чего-то там защищает, вот для них это говно и поддерживается.

"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 15-Янв-25 19:02 
пользуйся факпаком

"Обновление Git с устранением уязвимостей"
Отправлено Ivan_83 , 15-Янв-25 19:17 
Те пострадали мазахисты которые аутентифицируются не по SSH ключу по по паролю.
Учитывая что они и так мазохисты то думаю новость им в радость.

"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 15-Янв-25 20:42 
Так наоборот же, это ключники мазохисты. Этот ключ сгенерировать надо, куда-то там положить, настраивать, потом каждый год перегенерировать, постоянно вспоминая команды. С паролем же всё просто, введите пароль, вводишь пароль, доступ разрешен

"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 16-Янв-25 00:13 
Если ты пароль никогда не меняешь, то ключи-то нафига ротировать.

"Обновление Git с устранением уязвимостей"
Отправлено Ivan_83 , 16-Янв-25 01:00 
Ключ ssh генерируется один раз когда оно надо, команда сохраняется в текстовик с заметками.
Каждый год-два-десять-сто лет ничего перегенерировать не нужно. Не путайте с TLS сертификатами.


В остальном сразу видно что вы теоретег.
Я как то работал в одной конторе где тимлид осилил поставить гит только так что там был http с авторизацией.
Каждый раз когда дёргается гит приходилось вводить логин и пароль, это просто ппц.
Что называется - чтоб вам так пожить.


"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 16-Янв-25 01:43 
То ли дело ключи! Один раз при старте системы ввёл пароль, и дельше любая дрянь на компьютере может спокойно подключаться к репозиторию без ведома пользователя! Рай!

"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 16-Янв-25 03:34 
Не любая, а запущенная от того же пользоватлея. Отдельный пользователь вам в помощь.

"Обновление Git с устранением уязвимостей"
Отправлено Ivan_83 , 16-Янв-25 13:07 
Если бы у меня на компе что то завелось - утечка ссш ключей это последние чтобы бы меня волновало, а уж тем более какие то пуши куда то в гит.

"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 16-Янв-25 10:47 
> Каждый год-два-десять-сто лет ничего перегенерировать не нужно.

Нужно. Во всех местах, где я работал, была обязательная политика устаревания ключей. Со срок устаревания год обычно.

> Каждый раз когда дёргается гит приходилось вводить логин и пароль, это просто ппц.

Ну так и норм, когда на свою тачку входишь, тоже каждый раз логин пароль воодишь же. Плюс сколько помню там оно запоминает же последние введённые креды, разве нет?


"Обновление Git с устранением уязвимостей"
Отправлено Ivan_83 , 16-Янв-25 14:30 
SSH ключи даже на гитхубе не устаревают.
Где я щас работаю тоже отбитые безопасники рулят, в итоге каждый день куча времени тратится на бесполезные ритуалы аутентификации во всяком копротивном шлаке.


На свою тачку я раз в месяц вхожу.
Нет, не запоминает потому что я часто консольным гитом пользуюсь а не вендовом гите кнопки жмякаю.


"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 16-Янв-25 19:28 
А консольный гит не запоминает логин и пароль что ли? Видимо с консольным докером перепутал, тот запоминает пароль к registry

"Обновление Git с устранением уязвимостей"
Отправлено Рщъ , 16-Янв-25 01:28 
Пароль придётся вводить при каждом пуше. Уж проще один раз сделать ssh-copy-id

"Обновление Git с устранением уязвимостей"
Отправлено Аноним , 16-Янв-25 10:58 
Ну так и пушишь разве по тыщу раз?

"Обновление Git с устранением уязвимостей"
Отправлено Ivan_83 , 16-Янв-25 14:32 
Не при пуше а при взаимодействии с внешним гитом.
Если это активный разработчик на запиле кода то с гитом на сервере ему на дню может случится пообщатся десятки и сотни раз.