10:57
16/3/2016

* Aktualizujcie gita

We wszystkich wersjach gita starszych od 2.7.3 znajduje się błąd występujący zarówno w wersji serwerowej jak i klienckiej (!) tego oprogramowania. Oznacza to, że programista, który sklonuje odpowiednio spreparowane repozytorium może nieświadomie wykonać kod na swoim systemie.

a98e257e03117ef475ac9b11aa72dc80

Podatność i patche znane są od lutego, ale wciąż niewiele osób je zaaplikowało. Błąd posiada 2 identyfikatory CVE: cve-2016-2324, cve-2016-2315. Fragment podatnego kodu znajduje się tutaj — jak widać, winna jest funkcja path_name(), odpowiadająca za przetwarzanie nazw plików wgrywanych i zgrywanych z repozytorium.

Publicznego exploita jeszcze nie ma, ale zapewne zaraz się pokaże. Zalecamy szybką aktualizacjękompilację serwera i klienta.

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

15 komentarzy

Dodaj komentarz
  1. windowsiarze znow maja problem :v

    • Jaki? (Oprócz tego, że pracują z Windowsem)

    • git funkcjonuje w Linux/OSX/Windows

    • Dlaczego? Git for Windows jest dostępny w wersji 2.7.3

    • Z punktu widzenia tzw. nooba, tj. mnie, aktualizacja otwartego oprogramowania pod Windowsem jest znacząco prostsza niż pod Linuksem. Ściągasz nowy instalator, uruchamiasz i masz. Ewentualnie ściągasz nowe archiwum, rozpakowujesz i masz. Musisz wiedzieć o tej aktualizacji, jeśli twórcy nie dorzucili autoaktualizatora; jest to zasadniczo jedyny problem, który przychodzi mi do głowy.

      Dla odmiany pod Ubuntu nawet jeśli wiem o aktualizacji jakiegoś programu, to jeśli w oficjalnym repozytorium Canonicala jest stara wersja – a dość często tak jest – to zaczyna się tzw. niezły bałagan. Ktoś od gita przynajmniej zapewnia wsparcie dla tej konkretnej dystrybucji i wbudował się w system “niezaufanych” paczek, ale z innymi programami bywa ciężko. Zwłaszcza jeśli są zależnościami innych programów dostarczanych jako paczki. Szczerze powiedziawszy, nie mam zielonego pojęcia, jakie jest rekomendowane postępowanie w takich sytuacjach.

      Podsumowując, jeśli ktoś ma problem, to prędzej “normalni” użytkownicy Ubuntu. Nie zdziwię się, jeślli innych Linuksów też.

    • Akurat aktualizacja pod linuxem (większością distro) jest jeszcze prostsza – jedno polecenie albo kliknięcie w tray.

    • Kontynuacja (wysłałem w połowie niechcący).
      W przypadku ubuntu trzeba jeszcze dodać odpowiednie repo pakietów, bo rzeczywiście canonical bywa stary. Ale z aktualizacjami bezpieczeństwa nie jest tak źle.

      A na windowsie trzeba jeszcze wiedzieć, że dana aplikacja ma aktualizację…

    • @Stan

      Jak korzystasz z dystrubucji, której filozofia zakłada zamrażanie wersji na jakiś czas, to co chcesz.

      Chcesz mieć zawsze najnowsze wersje, wybierz jakąś dystrybucję rolling. No ale fakt, takie (chyba) bywają nieco trudniejsze w obsłudze.

  2. Ciekawe kiedy dojdzie do sytuacji w której developerzy będą mieli mniej do zaoferowania niż hakerzy (badacze bezpieczeństwa)?

  3. Na maca jeszcze nie ma nowej wersji? :(

  4. Eeee ale najpierw trzeba mieć konto i się zalogować.

  5. Dla Ubuntu:
    ““sudo add-apt-repository ppa:git-core/ppa && sudo apt-get update && sudo apt-get install git““

  6. W 2.7.3 jest ten sam błąd :/

  7. Hello, even if I don’t speak polish, I can definitely say something is wrong here.

    As I wrote on the original thread (me the reporter) I did a mistake no stable versions contains a complete fix (path_name() still exists in 2.7.3).

    For both Linux and Windows® clone the master git branch at git.kernel.org ; draw your compilers and enjoy the dependency hell !

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: