The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +/
Сообщение от opennews (??), 31-Окт-19, 10:11 
Из-за ошибки при организации кэширования в системе доставки контента, при попытке загрузки одной из сборок опубликованного позавчера корректирующего выпуска Python 3.5.8  распространялась предварительная сборка, не содержащая всех исправлений. Проблема затронула только архив Python-3.5.8.tar.xz, сборка Python-3.5.8.tgz распространялась корректно...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=51784

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +53 +/
Сообщение от Аноним (1), 31-Окт-19, 10:11 
Не успел Гвидо выйти на пенчию, и уже бардак.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +6 +/
Сообщение от Аноним (-), 31-Окт-19, 10:40 
Милостиво дозволяю поднять ему пенсионный возраст персонально до 90 лет!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

39. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  –1 +/
Сообщение от SOska (?), 01-Ноя-19, 08:52 
Что ты такое что бы что то кому то позволять
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

49. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +/
Сообщение от А это тоже (?), 04-Ноя-19, 07:49 
Правильно, или всем или никому
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

50. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +/
Сообщение от fx (ok), 07-Ноя-19, 13:51 
что какое бы, что какое то, кому какое то?
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

14. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +2 +/
Сообщение от Аноним (14), 31-Окт-19, 11:23 
Он уже год как ни ногой в питон-разработку. Видел, что там творится.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

16. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  –1 +/
Сообщение от fi2fi (?), 31-Окт-19, 11:23 
скорей кто то провел атаку CDN, чисто из научного интереса )))))
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

25. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  –1 +/
Сообщение от Аноним (25), 31-Окт-19, 13:04 
Скорее кто-то (возможно какая-то корпорация через подставных лиц) заплатил, за атаку на какую-то известную ему инфраструктуру. Возможно просто дал на лапу одному из админов, но сути это не меняет.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

2. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  –7 +/
Сообщение от мамкин ИБэксперт (?), 31-Окт-19, 10:31 
>контрольной сумме (MD5 4464517ed6044bca4fc78ea9ed086c36)

MD5 небезопасен

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +/
Сообщение от Аноним (3), 31-Окт-19, 10:33 
Даешь SHA512!
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +25 +/
Сообщение от Аноним (4), 31-Окт-19, 10:37 
Если кто-то подобрал коллизию и выложил свой вариант Питончика с тем же MD5, то ему самое время занять пост Гвидо :)
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

40. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  –1 +/
Сообщение от SOska (?), 01-Ноя-19, 08:59 
Так мд5 на практике безопасна, все врали?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

42. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +1 +/
Сообщение от Аноним84701 (ok), 01-Ноя-19, 17:47 
> Так мд5 на практике безопасна, все врали?

Не, то специально объявляли для хвостатых покорителей WWW-джунглей, использовавших микроскоп вместо молотка, а MD5 для "шифрования" паролей.

А для безопасТности там предлагают делать gpg --verify.


Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

5. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  –8 +/
Сообщение от Аноним (-), 31-Окт-19, 10:39 
Будьте гетеросексуальными белыми мужчинами! Пользуйте git, или хотя бы sudo apt-get install!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +4 +/
Сообщение от Andrey Mitrofanov_N0 (??), 31-Окт-19, 10:41 
> Будьте гетеросексуальными белыми мужчинами! Пользуйте git, или хотя бы

Для бинарных .tar.xz сборок?  Вы, мужчина, не из Микрософт Гитхаба к нам сюда?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  –3 +/
Сообщение от Аноним (9), 31-Окт-19, 11:00 
Ты не осилил git archive?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  –1 +/
Сообщение от neAnonim (?), 31-Окт-19, 11:10 
А ты?
https://github.com/git/git/commit/ee27ca4a781844ddbf556ec64d...

Это должно быть включено и не все так однозначно или ты с левых зеркал качаешь? Гораздо больше телодвижений, чем просто скачать xz.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

29. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +/
Сообщение от Аноним (29), 31-Окт-19, 14:17 
> Local requests continue to use get_sha1, and are not
> restricted at all.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

11. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  –1 +/
Сообщение от neAnonim (?), 31-Окт-19, 11:04 
1) в apt-get точно как же может быть закеширована неверная версия. Ошибка на стороне CDN
2) архив весит ~20 mb. git...  весит сильно больше, для проекта как python это нецелесообразно. И после скачивания это еще нужно распространить.

Ни чувства юмора, ни мозгов.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

15. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +/
Сообщение от Аноним (15), 31-Окт-19, 11:23 
1. Не может, т.к. apt проверит конрольную сумму и рванёт.
2. Разработчики без git не бывают. Хотя, я не приветствую использование git для распространения бинарников.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

18. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  –1 +/
Сообщение от neAnonim (?), 31-Окт-19, 11:50 
Я имел в виду что полный git-tree может весить много и возможность взять только срез может быть заблокирована или невозможна.
(ps Я не знаю сколько весит и мне лень смотреть)
(apt, pkg, итд. Как по мне созданы для этого)
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

26. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +2 +/
Сообщение от rshadow (ok), 31-Окт-19, 13:07 
git clone --depth 1 ...
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

35. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +/
Сообщение от neAnonim (?), 31-Окт-19, 17:57 
... не знал. Ок теперь я дочитаю документацию по git.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

43. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +/
Сообщение от Аноним (43), 01-Ноя-19, 19:57 
хаха, дочитаю... удачи.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

19. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  –2 +/
Сообщение от iPony129412 (?), 31-Окт-19, 11:52 
Сейчас модно так https://www.microsoft.com/en-us/p/python-38/9mssztt1n39l?act...
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

34. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  –1 +/
Сообщение от Anonymoustus (ok), 31-Окт-19, 16:22 
https://ru.wiktionary.org/wiki/пользовать
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  –2 +/
Сообщение от Аноним (8), 31-Окт-19, 10:43 
>В отличие от финального релиза предварительная версия не включала исправление уязвимости CVE-2019-16935 в коде сервера XML-RPC.
>Из-за ошибки
>ошибки

Всё, лишь бы не признавать, что CDNы либо сделают всё, что им скажет государство, либо будут заблокированы и вылетят с рынка.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +7 +/
Сообщение от Аноним (9), 31-Окт-19, 11:01 
> всё, что им скажет государство

Не государство, а рептилоиды.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

31. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +1 +/
Сообщение от Аноним (31), 31-Окт-19, 15:00 
>> всё, что им скажет государство
>
> Не государство, а рептилоиды.

А кто возглавляет все государства?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +/
Сообщение от neAnonim (?), 31-Окт-19, 11:12 
Отправляйся в атаку на CDN, спаси нас.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

22. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  –4 +/
Сообщение от Аноним (22), 31-Окт-19, 12:52 
Всегда считал людей что выкладывают различные sha суммы, и gpg подписи и при этом назойливо советуют проверить то что вы скачали на соответствие идиотами.

Проверять нужно то что лежит на сервере на соответствие запакованный архивов с эталонами (если таковые вообще были, судя по фейспалму их не было, а автоматизация конечно на говнокодинге питон скриптах).

И не обязательно каждый файл в конце то концов, а достаточно tar. Хотя я подозреваю что ни у кого нет эталонных архивов, а девляпсы все так заавтоматизировали в своих доцкерах что там же и подпись gpg архивов (с закешированным ключом и без ввода пароля), там же и оригиналы (ошибочные!) по которым система и лепила sha суммы и публиковала их на сайте.

Но они конечно не виноваты, ведь такое в порядке вещей, и не нужно ломать их питонячий мирок, а то ущемление прав все такое. Толи ещё будет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +1 +/
Сообщение от Аноним84701 (ok), 31-Окт-19, 13:32 
> Всегда считал людей что выкладывают различные sha суммы, и gpg подписи и при этом назойливо советуют проверить то что вы скачали на соответствие идиотами.
> Проверять нужно то что лежит на сервере на соответствие запакованный архивов с эталонами

А сперва почитать новость и только лишь потом комментировать – уже не модно? o_O

https://www.mail-archive.com/python-announce-list@pytho...
> Due to awkward CDN caching, some users who downloaded the source code tarballs of Python 3.5.8 got a preliminary version
> As best as we can tell, this only affects the .xz release; there are no known instances of users downloading an incorrect version of the .tgz file.

...
> It's easy to determine this for yourself.  The file size (15,382,140 bytes) and MD5 checksum

Т.е. CDN отгружало (причина в этом контексте не важна) "неправильный" файл, что достаточно просто определялось сверкой суммы с опубликованной на оф. сайте.

> (если таковые вообще были, судя по фейспалму их не было, а автоматизация конечно на говнокодинге питон скриптах).

Смотрим в оригинал
>  If you downloaded "Python-3.5.8.tar.xz" during the first twelve hours of its release, you might be affected.  It's easy to determine this for yourself.  The file size (15,382,140 bytes) and MD5 checksum (4464517ed6044bca4fc78ea9ed086c36) published on the release page have always matched the correct version.

Что-то в анонимном анализе опять не сходится.


> Хотя я подозреваю что ни у кого нет эталонных архивов, а девляпсы все так заавтоматизировали в своих доцкерах что там же и подпись gpg архивов (с закешированным ключом и без ввода пароля), там
> же и оригиналы (ошибочные!) по которым система и лепила sha суммы и публиковала их на сайте.

Оригинал:
> (повторно, специально для анонима) The file size (15,382,140 bytes) and MD5 checksum (4464517ed6044bca4fc78ea9ed086c36) published on the release page have always matched the correct version.
> Also, the GPG signature file will only report a "Good signature" for the correct .xz file (using "gpg --verify").

Ох уж эти анонимные аналитики-судьи-подозреватели.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

30. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +1 +/
Сообщение от Аноним (22), 31-Окт-19, 14:43 
Ты же понимаешь что он залил исправленный файл архив с таким же именем как и старый, люди не заметят и так сойдёт? Иначе никакого "cdn caching" не могло бы быть. Иными словами архив релиза из устаревших сорцов. Нельзя загрузить пистон 358 RC/beta/gamma по ссылке пистона 358 release физически никак, если только мистер кривые ручки сам не накосячил, признаваться конечно стыдно.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

32. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +2 +/
Сообщение от Аноним84701 (ok), 31-Окт-19, 15:10 
> Ты же понимаешь что он залил исправленный файл архив с таким же
> именем как и старый, люди не заметят и так сойдёт? Иначе
> никакого "cdn caching" не могло бы быть.

Ты же понимаешь, что вот это и "аналитика" в #22 – две большущие разницы?

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

44. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +/
Сообщение от Аноним (43), 01-Ноя-19, 20:00 
пох, ты что ли? пиши под собственным ником, чтоб твои посты было проще вырезать.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

23. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  –1 +/
Сообщение от Аноним (22), 31-Окт-19, 12:59 
What should you do?  It's up to you.

* If you and your users aren't using the XMLRPC library built in to
   Python, you don't need to worry about which version of 3.5.8 you
   downloaded.
* If you downloaded the .tgz tarball or the Git repo, you already have
   the correct version.
* If you downloaded the xz file and want to make sure you have the
   fix, check the MD5 sum, and if it's wrong download a fresh copy (and
   make sure that one matches the known good MD5 sum!).

To smooth over this whole sordid mess, I plan to make a 3.5.9 release in the next day or so.  It'll be identical to the 3.5.8 release; its only purpose is to ensure that all users have the same updated source code, including the fix for #38243.


Sorry for the mess, everybody,


//arry/


Господи каким же ЧСВ от человека пахнет, даже через океаны смердит. Обпоносился на отлично виноват во всем CDN.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +1 +/
Сообщение от Аноним (22), 31-Окт-19, 13:01 
> It'll be identical to the 3.5.8 release

Типичный пример drag&drop developers, вот так он и заливал файл со своего макбука, запутался в finder, не удобно им пользоваться понимаю.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

27. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  –1 +/
Сообщение от Аноним (25), 31-Окт-19, 13:09 
А что ему теперь на пенсию уходить раз Акелла промахнулся? На то и сервер чтобы его ронять. На то и обновления чтобы в них косячить.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

45. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +/
Сообщение от Аноним (43), 01-Ноя-19, 20:05 
Release Management workflow mutafaka, do you have it?!!!
как можно было кривую бэту выпустить в архиве с тем же названием что и релиз? как?!!!
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

33. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +1 +/
Сообщение от виндотролль (ok), 31-Окт-19, 16:02 
Небось в скриптах для сборки (написанных, конечно же, на питоне) где-то пролетела незамеченной ошибка
list object has no attribute 'latestTag'

А так да, хороший язык, и отступы интересные.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +1 +/
Сообщение от некто_c_другой_версииemail (?), 01-Ноя-19, 08:47 
а кто-нибудь собирает subj из исходников?
На нашей планете таких очень мало.
А на вашей?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +/
Сообщение от Аноним (43), 01-Ноя-19, 20:11 
примерно 10% (sourcebased) от 2% (linux/bsd/etc) пользователей ПК, хотя эту сумму тоже можно на 3 разделить, т.к. нет смысла каждую минорную версию питона собирать. В абсолютных значениях получается приличная цифра.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

47. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +/
Сообщение от Аноним (43), 01-Ноя-19, 20:21 
т.е. более миллиона человек, по грубым прикидкам. хотя, если учитывать автоматизацию и всякие CI инфраструктуры, цыфра непосредственно случаев сборки может быть на порядки выше.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

38. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  –3 +/
Сообщение от некто_c_другой_версииemail (?), 01-Ноя-19, 08:47 
а кто-нибудь собирает subj из исходников?
На нашей планете таких очень мало.
А на вашей?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +/
Сообщение от Онаним (?), 01-Ноя-19, 17:20 
> В отличие от финального релиза, предварительная версия не включала исправление уязвимости CVE-2019-16935

Тут не хватает "совершенно случайно".

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "Вместо Python 3.5.8 по ошибке распространялась некорректная ..."  +2 +/
Сообщение от cutlass (?), 02-Ноя-19, 01:17 
Вот до чего отступы доводят.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру