forum.opennet.ru - "Уязвимости в Git, допускающие выполнение кода при обращении к внешнему репозиторию" (35)

"Уязвимости в Git, допускающие выполнение кода при обращении к внешнему репозиторию"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в Git, допускающие выполнение кода при обращении к внешнему репозиторию"	+/–
Сообщение от opennews (??), 08-Июл-25, 23:01
Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.43.7, 2.44.4, 2.45.4, 2.46.4, 2.47.3, 2.48.2, 2.49.1 и 2.50.1, в которых устранены уязвимости, позволяющие выполнить свой код на системе пользователя при выполнение операции клонирования репозитория, подконтрольного атакующему... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63552
Ответить \| Правка \| Cообщить модератору

Оглавление

А чего вы хотели от софта где используется perl, не удивлюсь если там есть уязви, Аноним (5), 23:14 , 08-Июл-25, (5) –1

В новой версии избавились от Perl, переписав части на нём на bash, была новость , Анёним (?), 23:18 , 08-Июл-25, (6) +5

ну теперь заживём, 12yoexpert (ok), 00:33 , 09-Июл-25, (10) +4
Шило на мыло , X512 (?), 01:25 , 09-Июл-25, (13) +4
Хо-ро-шо поменяли Классно поменяли С , User (??), 08:24 , 09-Июл-25, (19) +1
какой ещё баш почему не Rust , Аноним (30), 13:49 , 09-Июл-25, (30) –2

Practical Exploitation and Remote code execution Language , Аноним (7), 23:22 , 08-Июл-25, (7) +12

а как Rust расшифровывается , Аноним (30), 13:51 , 09-Июл-25, (31) +1

Rust не расшифровывается Вообще Или вы про название , Аноним (32), 16:22 , 09-Июл-25, (32) –1
сначала хотели назвать corruption, но потом решили, что слишком палевно, и переи, 12yoexpert (ok), 18:12 , 09-Июл-25, (38)

perl там только для отправки почты через git send-email, чтоб свой smtp клиент н, Аноним (8), 23:30 , 08-Июл-25, (8) +1
Это, кстати, ты еще hg не видел или видел - он весь, а не только пара утилит-, Аноним (8), 01:10 , 09-Июл-25, (11) +1

Устаревшая информация уже , Кошкажена (?), 01:21 , 09-Июл-25, (12) +2

Кому интересно, подтверждаю Скачал архив 7 0 2 версии, и в ней куча раст-файлов, Аноним (15), 01:53 , 09-Июл-25, (15) +1

Они с питона, который их на дно и утянул, решили мигрировать на барабанная д, IMBird (ok), 08:46 , 09-Июл-25, (21) +3

Скрыто модератором, blkkid (?), 13:40 , 09-Июл-25, (27) +3
Вы ничиво нипанимаити На питоне можно сто фич запилить, пока вы на расте один ф, YetAnotherOnanym (ok), 13:42 , 09-Июл-25, (28) +1

Ну тут как бы нюанс еще и в том, ЧТО это за язык , User (??), 08:24 , 09-Июл-25, (20)

Питон, а в гите перл Только в гите перл не используется, скажем так, в ядре сис, Аноним (8), 11:58 , 09-Июл-25, (26)

а чего так мало версий должно быть на 10 страниц текста, Аноним (9), 23:46 , 08-Июл-25, (9) –1

Просто товарищи не льют всё в одну-единственную ветку, как это делает тот же арч, Аноним (15), 01:46 , 09-Июл-25, (14) +1

Льют сразу в 10 Считаете это нормальным , Аноним (16), 06:51 , 09-Июл-25, (16) –3

Когда всё новое льют в одну ветку, а исправления - во все поддерживаемые, считаю, Аноним (34), 17:46 , 09-Июл-25, (34)

Потому что гит - плохая распределенная система, была бы хорошая, то было бы 10 с, Аноним (17), 07:12 , 09-Июл-25, (17)

А где узнавать об уязвимостях до выхода патчей Мне для друга надо , Аноним (18), 07:38 , 09-Июл-25, (18)

А где друг работает , Аноним (25), 11:47 , 09-Июл-25, (25)

Сишники опять на сырых строках прокололись , Аноним (22), 09:53 , 09-Июл-25, (22) –1

Это перлуны , Аноним (23), 10:56 , 09-Июл-25, (23)

Перловики те еще овнокодеры, но в данном случае дырень в си коде Так что не надо, Аноним (-), 11:41 , 09-Июл-25, (24)

Это логическая дырень, от нее Rust бы не спас , Аноним (23), 17:17 , 09-Июл-25, (33)

Спас бы, если бы переписыватели разбирались в Си коде и столкнулись бы с этой , Аноним (35), 17:57 , 09-Июл-25, (35)

ИИ может иметь тайный интерес тебе навредить, который ты не сможешь никак провер, Аноним (37), 18:11 , 09-Июл-25, (37)

Ну и компилятор не лишен этого интереса ведь, как и живой переписыватель , очев, Аноним (35), 18:19 , 09-Июл-25, (39)

Сообщите пацанам, когда закончат переписывать C и C на Rust, срочно начинают п, Аноним (30), 13:47 , 09-Июл-25, (29)

Нам нейросеть сразу на трех языках пишет И сама в CI выкладывает с тестами Пок, Аноним (37), 18:10 , 09-Июл-25, (36)

Сообщения [Сортировка по ответам | RSS]

5. Сообщение от Аноним (5), 08-Июл-25, 23:14 –1 +/–

А чего вы хотели от софта где используется perl, не удивлюсь если там есть уязвимость, которую можно запихнуть в сообщение коммита

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #7, #8, #11

6. Сообщение от Анёним (?), 08-Июл-25, 23:18 +5 +/–

В новой версии избавились от Perl, переписав части на нём на bash, была новость тут

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #10, #13, #19, #30

7. Сообщение от Аноним (7), 08-Июл-25, 23:22 +12 +/–

Practical Exploitation and Remote code execution Language.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #31

8. Сообщение от Аноним (8), 08-Июл-25, 23:30 +1 +/–

perl там только для отправки почты через git send-email, чтоб свой smtp клиент не писать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

9. Сообщение от Аноним (9), 08-Июл-25, 23:46 –1 +/–

> 2.43.7, 2.44.4, 2.45.4, 2.46.4, 2.47.3, 2.48.2, 2.49.1 и 2.50.1
а чего так мало версий? должно быть на 10 страниц текста

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #17

10. Сообщение от 12yoexpert (ok), 09-Июл-25, 00:33 +4 +/–

ну теперь заживём

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

11. Сообщение от Аноним (8), 09-Июл-25, 01:10 +1 +/–

Это, кстати, ты еще hg не видел (или видел?) - он весь, а не только пара утилит-обвязок как в гите, написан на скриптовом языке.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #12, #20

12. Сообщение от Кошкажена (?), 09-Июл-25, 01:21 +2 +/–

> написан на скриптовом языке
Устаревшая информация уже.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #15

13. Сообщение от X512 (?), 09-Июл-25, 01:25 +4 +/–

> переписав части на нём на bash
Шило на мыло.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

14. Сообщение от Аноним (15), 09-Июл-25, 01:46 +1 +/–

Просто товарищи не льют всё в одну-единственную ветку, как это делает тот же арч. У этих есть стабильные версии, куда только исправления ошибок попадают.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #16

15. Сообщение от Аноним (15), 09-Июл-25, 01:53 +1 +/–

Кому интересно, подтверждаю. Скачал архив 7.0.2 версии, и в ней куча раст-файлов. Не бОльшая часть, но много.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #21

16. Сообщение от Аноним (16), 09-Июл-25, 06:51 –3 +/–

> Просто товарищи не льют всё в одну-единственную ветку
Льют сразу в 10. Считаете это нормальным?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #34

17. Сообщение от Аноним (17), 09-Июл-25, 07:12 +/–

Потому что гит - плохая распределенная система, была бы хорошая, то было бы 10 страниц форков

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

18. Сообщение от Аноним (18), 09-Июл-25, 07:38 +/–

А где узнавать об уязвимостях до выхода патчей? Мне для друга надо...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25

19. Сообщение от User (??), 09-Июл-25, 08:24 +1 +/–

"Хо-ро-шо поменяли! Классно поменяли!"(С)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

20. Сообщение от User (??), 09-Июл-25, 08:24 +/–

Ну тут как бы "нюанс" еще и в том, ЧТО это за язык...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #26

21. Сообщение от IMBird (ok), 09-Июл-25, 08:46 +3 +/–

Они с питона, который их на дно и утянул, решили мигрировать на ... барабанная дробь ... раст.
И теперь застряли в цикле вечного переписывания и бесконечной альфы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #27, #28

22. Сообщение от Аноним (22), 09-Июл-25, 09:53 –1 +/–

>уязвимость вызвана тем, что при чтении значений параметров конфигурации Git очищает указанные в конце символы перевода строки (LF) и возврата каретки (CR), но при записи значений в файл конфигурации не выполняет экранирование символа возврата каретки.
Сишники опять на сырых строках прокололись.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

23. Сообщение от Аноним (23), 09-Июл-25, 10:56 +/–

Это перлуны.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #24, #29

24. Сообщение от Аноним (-), 09-Июл-25, 11:41 +/–

> Это перлуны.
Перловики те еще овнокодеры, но в данном случае дырень в си коде.
Так что не надо на них незаслуженно гнать
Вот фикс:
github.com/git/git/commit/05e9cd64ee23bbadcea6bcffd6660ed02b8eab89

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #33

25. Сообщение от Аноним (25), 09-Июл-25, 11:47 +/–

А где друг работает?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

26. Сообщение от Аноним (8), 09-Июл-25, 11:58 +/–

Питон, а в гите перл. Только в гите перл не используется, скажем так, в ядре системе контроля версий - он просто для каких-то обвязок или не связанных с системой контроля версий действий, например, для отправки почты. Нафига целого smtp-клиента на Си писать для этого, если в перле уже есть p5-Net-SMTP-SSL? Меркуриал же весь написан на питоне.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

27. Сообщение от blkkid (?), 09-Июл-25, 13:40 Скрыто ботом-модератором +3 +/–

то анонам не нравится, что на расте не пишут, то анонам не нравится, что на расте пишут
вы там хоть линию партии определите

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

28. Сообщение от YetAnotherOnanym (ok), 09-Июл-25, 13:42 +1 +/–

> с питона, который их на дно и утянул
Вы ничиво нипанимаити! На питоне можно сто фич запилить, пока вы на расте один файл редактируете!
(То, что оно потом будет еле-еле ворочаться - это уже не проблемы кодера).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

29. Сообщение от Аноним (30), 09-Июл-25, 13:47 +/–

Сообщите пацанам, когда закончат переписывать C и C++ на Rust, срочно начинают переписывать Perl!!!!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #36

30. Сообщение от Аноним (30), 09-Июл-25, 13:49 –2 +/–

какой ещё баш? почему не Rust?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

31. Сообщение от Аноним (30), 09-Июл-25, 13:51 +1 +/–

а как Rust расшифровывается?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #32, #38

32. Сообщение от Аноним (32), 09-Июл-25, 16:22 –1 +/–

Rust не расшифровывается. Вообще. Или вы про название?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

33. Сообщение от Аноним (23), 09-Июл-25, 17:17 +/–

Это логическая дырень, от нее Rust бы не спас.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #35

34. Сообщение от Аноним (34), 09-Июл-25, 17:46 +/–

Когда всё новое льют в одну ветку, а исправления - во все поддерживаемые, считаю нормальным, да.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

35. Сообщение от Аноним (35), 09-Июл-25, 17:57 +/–

> Это логическая дырень, от нее Rust бы не спас.
Спас бы, если бы "переписыватели" разбирались в Си коде и столкнулись бы с этой ошибкой, а не просто транслировали бы синтаксис с одного ЯП на другой, для той задачи в "переписывателях" нет нужды, как раз таки ЫЫ должен с этим хорошо справляться.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #37

36. Сообщение от Аноним (37), 09-Июл-25, 18:10 +/–

Нам нейросеть сразу на трех языках пишет. И сама в CI выкладывает с тестами. Пока все тесты не пройдет сама всё правит.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

37. Сообщение от Аноним (37), 09-Июл-25, 18:11 +/–

ИИ может иметь тайный интерес тебе навредить, который ты не сможешь никак проверить. Или скрытый промт, от создателей твоих инструментов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #39

38. Сообщение от 12yoexpert (ok), 09-Июл-25, 18:12 +/–

сначала хотели назвать corruption, но потом решили, что слишком палевно, и переименовали в rust. так что это не аббревиатура

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

39. Сообщение от Аноним (35), 09-Июл-25, 18:19 +/–

> ИИ может иметь тайный интерес тебе навредить
Ну и компилятор не лишен этого интереса ведь, как и живой "переписыватель", очевидно ведь. Речь же совсем о другом.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

5. Сообщение от Аноним (5), 08-Июл-25, 23:14	–1 +/–
А чего вы хотели от софта где используется perl, не удивлюсь если там есть уязвимость, которую можно запихнуть в сообщение коммита
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #6, #7, #8, #11

6. Сообщение от Анёним (?), 08-Июл-25, 23:18	+5 +/–
В новой версии избавились от Perl, переписав части на нём на bash, была новость тут
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #10, #13, #19, #30

7. Сообщение от Аноним (7), 08-Июл-25, 23:22	+12 +/–
Practical Exploitation and Remote code execution Language.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #31

8. Сообщение от Аноним (8), 08-Июл-25, 23:30	+1 +/–
perl там только для отправки почты через git send-email, чтоб свой smtp клиент не писать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

9. Сообщение от Аноним (9), 08-Июл-25, 23:46	–1 +/–
> 2.43.7, 2.44.4, 2.45.4, 2.46.4, 2.47.3, 2.48.2, 2.49.1 и 2.50.1 а чего так мало версий? должно быть на 10 страниц текста
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #14, #17

10. Сообщение от 12yoexpert (ok), 09-Июл-25, 00:33	+4 +/–
ну теперь заживём
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

11. Сообщение от Аноним (8), 09-Июл-25, 01:10	+1 +/–
Это, кстати, ты еще hg не видел (или видел?) - он весь, а не только пара утилит-обвязок как в гите, написан на скриптовом языке.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #12, #20

12. Сообщение от Кошкажена (?), 09-Июл-25, 01:21	+2 +/–
> написан на скриптовом языке Устаревшая информация уже.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #15

13. Сообщение от X512 (?), 09-Июл-25, 01:25	+4 +/–
> переписав части на нём на bash Шило на мыло.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

14. Сообщение от Аноним (15), 09-Июл-25, 01:46	+1 +/–
Просто товарищи не льют всё в одну-единственную ветку, как это делает тот же арч. У этих есть стабильные версии, куда только исправления ошибок попадают.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #16

15. Сообщение от Аноним (15), 09-Июл-25, 01:53	+1 +/–
Кому интересно, подтверждаю. Скачал архив 7.0.2 версии, и в ней куча раст-файлов. Не бОльшая часть, но много.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #21

16. Сообщение от Аноним (16), 09-Июл-25, 06:51	–3 +/–
> Просто товарищи не льют всё в одну-единственную ветку Льют сразу в 10. Считаете это нормальным?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #34

17. Сообщение от Аноним (17), 09-Июл-25, 07:12	+/–
Потому что гит - плохая распределенная система, была бы хорошая, то было бы 10 страниц форков
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9

18. Сообщение от Аноним (18), 09-Июл-25, 07:38	+/–
А где узнавать об уязвимостях до выхода патчей? Мне для друга надо...
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #25

19. Сообщение от User (??), 09-Июл-25, 08:24	+1 +/–
"Хо-ро-шо поменяли! Классно поменяли!"(С)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

20. Сообщение от User (??), 09-Июл-25, 08:24	+/–
Ну тут как бы "нюанс" еще и в том, ЧТО это за язык...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #26

21. Сообщение от IMBird (ok), 09-Июл-25, 08:46	+3 +/–
Они с питона, который их на дно и утянул, решили мигрировать на ... барабанная дробь ... раст. И теперь застряли в цикле вечного переписывания и бесконечной альфы.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15 Ответы: #27, #28

22. Сообщение от Аноним (22), 09-Июл-25, 09:53	–1 +/–
>уязвимость вызвана тем, что при чтении значений параметров конфигурации Git очищает указанные в конце символы перевода строки (LF) и возврата каретки (CR), но при записи значений в файл конфигурации не выполняет экранирование символа возврата каретки. Сишники опять на сырых строках прокололись.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #23

23. Сообщение от Аноним (23), 09-Июл-25, 10:56	+/–
Это перлуны.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #22 Ответы: #24, #29

24. Сообщение от Аноним (-), 09-Июл-25, 11:41	+/–
> Это перлуны. Перловики те еще овнокодеры, но в данном случае дырень в си коде. Так что не надо на них незаслуженно гнать Вот фикс: github.com/git/git/commit/05e9cd64ee23bbadcea6bcffd6660ed02b8eab89
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #23 Ответы: #33

25. Сообщение от Аноним (25), 09-Июл-25, 11:47	+/–
А где друг работает?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18

26. Сообщение от Аноним (8), 09-Июл-25, 11:58	+/–
Питон, а в гите перл. Только в гите перл не используется, скажем так, в ядре системе контроля версий - он просто для каких-то обвязок или не связанных с системой контроля версий действий, например, для отправки почты. Нафига целого smtp-клиента на Си писать для этого, если в перле уже есть p5-Net-SMTP-SSL? Меркуриал же весь написан на питоне.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20

27. Сообщение от blkkid (?), 09-Июл-25, 13:40 Скрыто ботом-модератором	+3 +/–
то анонам не нравится, что на расте не пишут, то анонам не нравится, что на расте пишут вы там хоть линию партии определите
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21

28. Сообщение от YetAnotherOnanym (ok), 09-Июл-25, 13:42	+1 +/–
> с питона, который их на дно и утянул Вы ничиво нипанимаити! На питоне можно сто фич запилить, пока вы на расте один файл редактируете! (То, что оно потом будет еле-еле ворочаться - это уже не проблемы кодера).
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21

29. Сообщение от Аноним (30), 09-Июл-25, 13:47	+/–
Сообщите пацанам, когда закончат переписывать C и C++ на Rust, срочно начинают переписывать Perl!!!!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #23 Ответы: #36

30. Сообщение от Аноним (30), 09-Июл-25, 13:49	–2 +/–
какой ещё баш? почему не Rust?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

31. Сообщение от Аноним (30), 09-Июл-25, 13:51	+1 +/–
а как Rust расшифровывается?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #32, #38

32. Сообщение от Аноним (32), 09-Июл-25, 16:22	–1 +/–
Rust не расшифровывается. Вообще. Или вы про название?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #31

33. Сообщение от Аноним (23), 09-Июл-25, 17:17	+/–
Это логическая дырень, от нее Rust бы не спас.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24 Ответы: #35

34. Сообщение от Аноним (34), 09-Июл-25, 17:46	+/–
Когда всё новое льют в одну ветку, а исправления - во все поддерживаемые, считаю нормальным, да.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16