LINUX.ORG.RU

Корректирующий релиз Git

 ,


0

2

Вышло обновление популярной распределённой системы управления версиями git (v1.8.5.6, v1.9.5, v2.0.5, v2.1.4, и v2.2.1)

Релиз закрывает дыру в безопасности (CVE-2014-9390).

Данный баг позволяет специально сформированным деревом переписать .git/config в репозитории на case-insensitive файловых системах (в tree включается .Git/config). Это, в свою очередь, приводит к возможности выполнения произвольного кода на клиенте. Директория .git на сервере не модифицируется.

Уязвимость кроется в устройстве файловых систем на машинах клиентов. Так, ФС, не различающие (или нормализующие) регистр символов, подвержены атакам: NTFS, FAT на Windows и HFS+ на Mac OS X.

Не смотря на то, что Linux системы не подвержены уязвимости, обновиться советуют всем и как можно скорее. Особое внимаение следует уделять репозиториям, клонируемым из непроверенных источников.

Наличие уязвимости также подтверждено в системе управления версиями Mercurial (hg) и исправлено в выпуске 3.2.3.

>>> Подробности

★★★★

Проверено: Shaman007 ()
Последнее исправление: Klymedy (всего исправлений: 7)

Благополучно переврали. Получилась шамановщина/ализаровщина.

Уязвимость позволяет клиенту на Windows или Mac Os X включить в коммит свое дерево .Git, которое перезапишет .git на сервере и может привести к выполнению произвольного кода из файла config.

Данный баг позволяет специально сформированным деревом переписать .git/config в репозитории на case-insensitive файловых системах (в tree включается .Git/config). Это, в свою очередь, приводит к возможности выполнения произвольного кода на клиенте. Директория .git на сервере не модифицируется.

Уязвимость касается устройства файловых систем на машинах клиентов. Так, ФС, не различающие (или нормализующие) регистр символов, подвержены атакам. По сути уязвимы ФС от Microsoft (NTSF, FAT) и HFS+ на Mac Os X.

Уязвимость касается git, а не устройства файловой системы. git-клиент должен проверять не перезапишет ли он файлы, которые перезаписывать не должен.

grossws
()
Ответ на: комментарий от Deleted

Насколько я знаю, уязвимость и в меркуриале была. Тоже закрыли. Собственно, «darwin: omit ignorable codepoints when normcase()ing a file path».

turtle_bazon ★★★★★
()
Последнее исправление: turtle_bazon (всего исправлений: 1)

гм

You are downloading version 2.0.1 of Git for the Mac platform. This is the most recent maintained build for this platform. It was released 6 months ago, on 2014-06-29.

обновление для мака ожидается?

waker ★★★★★
()
Последнее исправление: waker (всего исправлений: 1)
Ответ на: комментарий от pftBest

а конвертнуть нельзя? (просто бэкапить 500 гигов, переустанавливать 2 версии макоси, и восстанавливать все рабочее окружение — как-то влом, мягко говоря - проще гит из сорсов собрать)

waker ★★★★★
()
Последнее исправление: waker (всего исправлений: 1)
Ответ на: комментарий от DeadEye

аа, а я сначала подумал, что он не из этих сорцов собирать будет

unt1tled ★★★★
() автор топика

РЕШЕТО!

Deleted
()

NTSF
Mac Os X.

К логопеду!

anonymous
()
Ответ на: комментарий от anonymous

да. В Homebrew/MacPorts уже 2.2.1. Неосиляторы, качающие гит с оф. сайта должны страдать.

где ты нашел новую версию на офсайте? у меня по прежнему установлена старая, из комплекта xcode.

waker ★★★★★
()
Ответ на: комментарий от waker

так всё понятно. 501 — мой пользователь, 80 — системная группа admin. (0/0 для fish потому, что она по-другому поставлена)

anonymous
()
Ответ на: комментарий от anonymous

ну т.е. все таки твой юзер owner файлов в /usr/local, с доступом на запись, в итоге homebrew работает только от твоего юзера? и при этом ты говоришь что homebrew рулит? я из-за этого перестал им пользоваться (и да, я знаю что его можно перенастроить, но весь нужный мне софт есть в готовом виде без сборки через homebrew).

waker ★★★★★
()
Ответ на: комментарий от waker

Ну да, меня это не напрягает. Хочется от рута — есть macports.

весь нужный мне софт есть в готовом виде без сборки через homebrew

1. Bottle — это не сборка, а бинарный пакет. 2. Ну, и откуда ты взял Git 2.2.1, если он у тебя есть?

anonymous
()
Ответ на: комментарий от anonymous

Ну, и откуда ты взял Git 2.2.1, если он у тебя есть?

у меня его нет.

waker ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.