10:57
16/3/2016

* Aktualizujcie gita

We wszystkich wersjach gita starszych od 2.7.3 znajduje się błąd występujący zarówno w wersji serwerowej jak i klienckiej (!) tego oprogramowania. Oznacza to, że programista, który sklonuje odpowiednio spreparowane repozytorium może nieświadomie wykonać kod na swoim systemie.

a98e257e03117ef475ac9b11aa72dc80

Podatność i patche znane są od lutego, ale wciąż niewiele osób je zaaplikowało. Błąd posiada 2 identyfikatory CVE: cve-2016-2324, cve-2016-2315. Fragment podatnego kodu znajduje się tutaj — jak widać, winna jest funkcja path_name(), odpowiadająca za przetwarzanie nazw plików wgrywanych i zgrywanych z repozytorium.

Publicznego exploita jeszcze nie ma, ale zapewne zaraz się pokaże. Zalecamy szybką aktualizacjękompilację serwera i klienta.


Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

15 komentarzy

Dodaj komentarz
  1. windowsiarze znow maja problem :v

    • Jaki? (Oprócz tego, że pracują z Windowsem)

    • git funkcjonuje w Linux/OSX/Windows

    • Dlaczego? Git for Windows jest dostępny w wersji 2.7.3

    • Z punktu widzenia tzw. nooba, tj. mnie, aktualizacja otwartego oprogramowania pod Windowsem jest znacząco prostsza niż pod Linuksem. Ściągasz nowy instalator, uruchamiasz i masz. Ewentualnie ściągasz nowe archiwum, rozpakowujesz i masz. Musisz wiedzieć o tej aktualizacji, jeśli twórcy nie dorzucili autoaktualizatora; jest to zasadniczo jedyny problem, który przychodzi mi do głowy.

      Dla odmiany pod Ubuntu nawet jeśli wiem o aktualizacji jakiegoś programu, to jeśli w oficjalnym repozytorium Canonicala jest stara wersja – a dość często tak jest – to zaczyna się tzw. niezły bałagan. Ktoś od gita przynajmniej zapewnia wsparcie dla tej konkretnej dystrybucji i wbudował się w system “niezaufanych” paczek, ale z innymi programami bywa ciężko. Zwłaszcza jeśli są zależnościami innych programów dostarczanych jako paczki. Szczerze powiedziawszy, nie mam zielonego pojęcia, jakie jest rekomendowane postępowanie w takich sytuacjach.

      Podsumowując, jeśli ktoś ma problem, to prędzej “normalni” użytkownicy Ubuntu. Nie zdziwię się, jeślli innych Linuksów też.

    • Akurat aktualizacja pod linuxem (większością distro) jest jeszcze prostsza – jedno polecenie albo kliknięcie w tray.

    • Kontynuacja (wysłałem w połowie niechcący).
      W przypadku ubuntu trzeba jeszcze dodać odpowiednie repo pakietów, bo rzeczywiście canonical bywa stary. Ale z aktualizacjami bezpieczeństwa nie jest tak źle.

      A na windowsie trzeba jeszcze wiedzieć, że dana aplikacja ma aktualizację…

    • @Stan

      Jak korzystasz z dystrubucji, której filozofia zakłada zamrażanie wersji na jakiś czas, to co chcesz.

      Chcesz mieć zawsze najnowsze wersje, wybierz jakąś dystrybucję rolling. No ale fakt, takie (chyba) bywają nieco trudniejsze w obsłudze.

  2. Ciekawe kiedy dojdzie do sytuacji w której developerzy będą mieli mniej do zaoferowania niż hakerzy (badacze bezpieczeństwa)?

  3. Na maca jeszcze nie ma nowej wersji? :(

  4. Eeee ale najpierw trzeba mieć konto i się zalogować.

  5. Dla Ubuntu:
    ““sudo add-apt-repository ppa:git-core/ppa && sudo apt-get update && sudo apt-get install git““

  6. W 2.7.3 jest ten sam błąd :/

  7. Hello, even if I don’t speak polish, I can definitely say something is wrong here.

    As I wrote on the original thread (me the reporter) I did a mistake no stable versions contains a complete fix (path_name() still exists in 2.7.3).

    For both Linux and Windows® clone the master git branch at git.kernel.org ; draw your compilers and enjoy the dependency hell !

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: