Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в Git для Cygwin, позволяющая организовать выполнение кода"	+/–
Сообщение от opennews (ok), 25-Апр-21, 11:16
В Git выявлена критическая уязвимость (CVE-2021-29468), проявляющаяся только при сборке для окружения Cygwin (библиотека для эмуляции базового Linux API в Windows и набор типовых linux-программ для Windows). Уявзимость позволяет выполнить код злоумышленника при извлечении данных ("git checkout") из репозитория, подконтрольного атакующему. Проблема устранена в пакете git 2.31.1-2 для Cygwin. В основном проекте Git проблема пока не исправлена (маловероятно, что кто-то своими руками собирает git для Cygwin, а не использует готовый пакет)... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55027
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	–3 +/–
Сообщение от VINRARUS (ok), 25-Апр-21, 11:16
Фу.
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	–3 +/–
Сообщение от Аноним (2), 25-Апр-21, 11:20
Спрашивается, зачем использовать cygwin, если есть православный GNU/Linux?
Ответить | Правка | Наверх | Cообщить модератору

	3. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	–3 +/–
	Сообщение от proninyaroslav (ok), 25-Апр-21, 11:22
	Зачем использовать cygwin, если есть православный WSL
	Ответить | Правка | Наверх | Cообщить модератору

	4. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+1 +/–
	Сообщение от Аноним (4), 25-Апр-21, 11:24
	Раньше использовал для разработки, но сейчас перешёл на винду в VMWare. Перезагружаться уже не нужно, а в последней версии допилили графику до вменяемого состояния, DirectX 11 в виртуалке работает на ура.
	Ответить | Правка | Наверх | Cообщить модератору

	12. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+8 +/–
	Сообщение от Аноним (12), 25-Апр-21, 12:39
	WSL уже закопали. Сейчас WSL2, а оно есть виртуалка, в которой запускается почти GNU/Linux.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	37. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	–1 +/–
	Сообщение от Аноним (37), 26-Апр-21, 08:44
	Зачем нужен WSL2, если VirtualBox я могу и сам запустить?
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+/–
	Сообщение от Аноним (40), 26-Апр-21, 11:55
	A virtualBox также быстро будет стартовать? также хорошо будет интегрирован с системой (шереные папки, сеть, динамич выделение памяти) без доп. настроек?
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+1 +/–
	Сообщение от 1 (??), 27-Апр-21, 00:34
	Конечно, это все давно есть
	Ответить | Правка | Наверх | Cообщить модератору

	50. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+/–
	Сообщение от A (?), 28-Апр-21, 21:41
	Тока плохо работает у обоих.
	Ответить | Правка | Наверх | Cообщить модератору

	5. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+2 +/–
	Сообщение от Аноним (5), 25-Апр-21, 11:27
	Cygwin нужен чтобы получить юзабельное GNU/Windows окружение. Т.е. ConEmu+Msys2.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	6. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+4 +/–
	Сообщение от IRASoldier_registered (ok), 25-Апр-21, 11:35
	Ну что ты, как же ж так же ж, это ж Виндой пользоваться! Это ж позор страшный!
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+3 +/–
	Сообщение от Аноним (-), 25-Апр-21, 13:07
	> Ну что ты, как же ж так же ж, это ж Виндой пользоваться! Это ж позор страшный! Причем, с сугубо местным, "понятийным" определением "пользования" - ну там, как обычно, считаются только "пассивы" или "забутявил винду в день пару раз - все еще не виндораз!".
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+1 +/–
	Сообщение от лолшто (?), 25-Апр-21, 11:45
	Какое весло вручили, с тем и гребешь...
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	8. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	–3 +/–
	Сообщение от Аноним (8), 25-Апр-21, 11:49
	Знаешь, вращал я такие шараги на своём журнале.
	Ответить | Правка | Наверх | Cообщить модератору

	20. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+/–
	Сообщение от Dzen Python (ok), 25-Апр-21, 13:20
	Ты главное цепь, к пулемету идущую, поправь, чтобы не звенела, бунар-р-р-ь. Потому, что как раз именно в шарагах админы не следят за лицензионностью установленного ПО на машинах (не важно, винда там или лянекс), а потом скачут на задней лапке перед заряженным ОБЭП. И подношения несут. Так что тут действительно, или работаешь на лицензионном "жричодали", или обосновываешь закупку себе отдельной лицензии на линукс (или мак в сборе, опечатанный) с наклеечкой и договором.
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+1 +/–
	Сообщение от Аноним (8), 25-Апр-21, 21:16
	Всё синтезированное тобою - слишком дикий бред. Как-то стрёмно у вас в совке живётся. А по поводу - "чё дали" - у меня есть свои предпочтения, и я сам знаю какой дистрибутив линукса мне лучше накатить. Здесь например, даже в тех шарагах, где "жричедали" - после ухода нескольких поколений разрабов уже начинают задумываться о стандартизации бубунточки. Так чтобы не "по запросу", а сразу человек мог выбрать.
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+/–
	Сообщение от Аноним (44), 26-Апр-21, 14:16
	>Какое весло вручили, с тем и гребешь... А если ложку дали?
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	47. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+/–
	Сообщение от Albertio (ok), 26-Апр-21, 20:28
	Проверь, есть ли в ней дырка
	Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	–1 +/–
Сообщение от Аноним (8), 25-Апр-21, 11:50
> Уязвимость в Git для Cygwin Пусть этот цинвин поначалу хоть в вайне запустится!
Ответить | Правка | Наверх | Cообщить модератору

	30. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+5 +/–
	Сообщение от Аноним (30), 25-Апр-21, 20:20
	Cygwin в WINE? Мсье знает толк...
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+/–
	Сообщение от Аноним (8), 25-Апр-21, 21:17
	А почему бы и нет? Доказательство сквозной работоспособности.
	Ответить | Правка | Наверх | Cообщить модератору

	39. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+2 +/–
	Сообщение от Аноним (39), 26-Апр-21, 11:30
	Задачи "обеспечить сквозную работоспособность" никогда не стояло ни у цигвина, ни у вайна, так что претензии по этому поводу можете отправлять прямо в Спортлото.
	Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+1 +/–
Сообщение от Аноним (10), 25-Апр-21, 12:21
-#ifdef GIT_WINDOWS_NATIVE +#if defined GIT_WINDOWS_NATIVE || defined __CYGWIN__                 if (c == '\\')                     return 0; #endif Проблема решена, расходимся. Зачем вообще в Cygwin такие пути файлов?
Ответить | Правка | Наверх | Cообщить модератору

	21. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	–3 +/–
	Сообщение от PHPoenX (ok), 25-Апр-21, 13:49
	Это не "пути cygwin", а пути замечательной ntfs, где всё через пятую точку
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+1 +/–
	Сообщение от Онаним (?), 25-Апр-21, 23:52
	Хрен она решена. Там помимо гита наверняка 100500 таких же граблей разложено. Есть мысль, что единственное решение - из цигвина поддержку \ в путях выпилить.
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

11. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	–1 +/–
Сообщение от Аноним (11), 25-Апр-21, 12:23
>> что приводит к отсутствию ограничений на использование символа '\' в пути Линуксойды до сих пор считают себя единственной расой во вселенной? :D
Ответить | Правка | Наверх | Cообщить модератору

	14. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+3 +/–
	Сообщение от Аноним (12), 25-Апр-21, 12:45
	Но у соседних расс: всеBSD, MacOS, '\' тоже означает экранирование следующего символа.
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+/–
	Сообщение от Аноним (17), 25-Апр-21, 12:57
	а нехрен было создателям вантуза выпендриваться и юзать какие-то бэкслеши в качестве разделителя. Я б на месте мейнтейнеров вообще забил бы на проблему — вантузоидам не привыкать торчать голой опой во все шесть сторон одновременно.
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

	24. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+/–
	Сообщение от Ordu (ok), 25-Апр-21, 16:31
	> а нехрен было создателям вантуза выпендриваться и юзать какие-то бэкслеши в качестве разделителя. Они не выпендривались, они обратную совместимость тянули. Они строили венду как расширитель доса, а в досе, когда речь зашла о добавлении иерархии в фс, слеши вызывали необходимость ломать обратную совместимость: https://web.archive.org/web/20100612035120/http://blogs.msdn... Это довольно забавно -- те программы, которые использовали слеши, чтобы выделить ключи, использовали слеш, и из-за которых решили использовать \ разделителем пути в досе, давно не существуют, а обратная совместимость с ними до сих пор.
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+/–
	Сообщение от Аноним (12), 25-Апр-21, 19:09
	Тогда в 1983-м, когда MS-DOS 2.0 вышла, могли бы смело в досовых утилитках поменять префикс для ключей на '-'. Всё равно, утилиnки шли с конкретной версией DOS.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+/–
	Сообщение от Ordu (ok), 25-Апр-21, 19:34
	Могли бы, но что возьмёшь со старпёров, которые в дополнение к синдрому утёнка ещё и заботятся о том, чтобы существующие скрипты не сломались.
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	–1 +/–
	Сообщение от i (??), 25-Апр-21, 23:41
	хаха, тоже мне мальчик молодой
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+/–
	Сообщение от Ordu (ok), 26-Апр-21, 00:42
	Старпёр -- это не возраст, это состояние ума.
	Ответить | Правка | Наверх | Cообщить модератору

	41. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+/–
	Сообщение от пох. (?), 26-Апр-21, 12:22
	это только у вас, лап4...х так принято - взять и всем все сломать, ради всеобщего щастья (а на деле банальной лени разработчиков думать - что мы и получили с cygwin - ну кто бы мог подумать и было бы ему, чем, что у другой системы могут быть какие-то другие пути?) Именно по этой причине вы в гуане по шею и там и останетесь.
	Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

	38. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+/–
	Сообщение от Аноним (17), 26-Апр-21, 10:11
	ключи ставятся после названия проги: program.exe /? да, дос-вантуз позволяет пришпандоривать ключи непосредственно к названию экзешника, без пробела: program.exe/p/i/z/d/e/t/s ну так следовало просто требовать между ключами и названием проги ставить пробел, тогда команды бы интерпретировались однозначно: c:/hello.exe /?. Но нет, вантузоиды пошли своим особым "обратно-совместимым" путем (хоть и не совместимым со всем остальным миром, да глянь хотя бы на URL, там тоже нормальные слэши вместо вантузных)
	Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

	42. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+/–
	Сообщение от пох. (?), 26-Апр-21, 12:25
	> ну так следовало просто требовать между ключами и названием проги ставить пробел, кому следовало, зачем это следовало? Команды и так интерпретируются однозначно - интерпретатор не позволит подсунуть слэж как часть имени. Проблемы рукожопиков с ластами вместо рук - это их проблемы. > хоть и не совместимым со всем остальным миром каким еще "остальным миром" - вашим еще не родившимся л@тым гуаном? C rt11 да, получилось не очень совместимо, в ней вообще никаких каталогов не было.
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+/–
	Сообщение от Аноним (26), 25-Апр-21, 16:54
	Изначально была dos 1.0, которая не поддерживала каталоги, но зато были утилиты, написанные ibm, которые использовали / для передачи опций, например dir /w. В unix для этих целей использовали -. Потом, в dos 2.0, каталоги появились, но / уже был звнят, так что взяли обратный слэш, ну а потом понеслась обратная совместимость...
	Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

	29. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+2 +/–
	Сообщение от turbo2001 (ok), 25-Апр-21, 20:06
	И тут IBM поднаcpал.
	Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	–5 +/–
Сообщение от пох. (?), 25-Апр-21, 12:40
> Уявзимость позволяет выполнить код злоумышленника при извлечении > данных ("git checkout") из репозитория, чорд, я один не понимаю, где тут очередная "увизгвимость", достойная аж целых статей впопеннета? Мы разьве эти самые данные...которые вообще-то скорее всего тоже код - не собирались выполнять? Чиста на посмотреть чекаутили? А, "это другое", да...
Ответить | Правка | Наверх | Cообщить модератору

	22. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	–2 +/–
	Сообщение от Вертел мастдайку на кожаной оси (?), 25-Апр-21, 13:58
	Ну да, у вас на шинодшс одной дыренью больше или меньше - без разницы, всё равно всё дырявое. А на нормальных системах люди, представь себе, веб и мобильной разработкой занимаются - и код из репозиториев запускается в изолированной среде.
	Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+/–
Сообщение от Аноним (12), 25-Апр-21, 12:48
Предполагаю, что в Git Msys2 это тоже уязвимость.
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+/–
Сообщение от Аноним (19), 25-Апр-21, 13:15
Какой ужас!
Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+/–
Сообщение от Аноним (23), 25-Апр-21, 15:07
Пора в лицензии прописать, что запускать линукс на платных платформах можно только после открытия всех спецификаций API проприетарщины чтобы Wine тоже мог быть полноценным.
Ответить | Правка | Наверх | Cообщить модератору

	36. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	–2 +/–
	Сообщение от муу (?), 26-Апр-21, 04:50
	такие как ты понаписывают, да в cygwin (о котором речь в новости) линуксом который ядро даже и не пахнет там в основном GNU
	Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	–2 +/–
Сообщение от YetAnotherOnanym (ok), 25-Апр-21, 16:43
> маловероятно, что кто-то своими руками собирает git для Cygwin, а не использует готовый пакет Тонко. Зачот.
Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+/–
Сообщение от Аноним (45), 26-Апр-21, 17:52
Ну так windows, чему тут удивлсяться.
Ответить | Правка | Наверх | Cообщить модератору

	49. "Уязвимость в Git для Cygwin, позволяющая организовать выполн..."	+/–
	Сообщение от Wilem82 (ok), 27-Апр-21, 03:04
	Правильно писать GNU/Windows.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема