abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 23:55 | Komunita

Ubuntu 17.10 (Artful Aardvark) bude ve výchozím stavu zobrazovat Dok (Launcher). Jedná se o rozšíření GNOME Shellu Ubuntu Dock. To bylo forknuto z rozšíření Dash to Dock. Ukázka na YouTube [reddit].

Ladislav Hagara | Komentářů: 0
17.8. 15:33 | Nová verze

Byla vydána verze 17.08.0 KDE Aplikací (KDE Applications). Přehled novinek v kompletním seznamu změn a na stránce s dalšími informacemi. Aplikace kmag, kmousetool, kgoldrunner, kigo, konquest, kreversi, ksnakeduel, kspaceduel, ksudoku, kubrick, lskat a umbrello byly portovány na KDE Frameworks 5.

Ladislav Hagara | Komentářů: 0
17.8. 15:11 | Nová verze

Simon Long představil na blogu Raspberry Pi novou verzi 2017-08-16 linuxové distribuce Raspbian určené především pro jednodeskové miniaturní počítače Raspberry Pi. Společně s Raspbianem byl aktualizován také instalační nástroj NOOBS (New Out Of the Box Software). Nejnovější Raspbian je založen na Debianu 9 Stretch. Přehled novinek v poznámkách k vydání. Řešena je také bezpečnostní chyba Broadpwn (CVE-2017-9417).

Ladislav Hagara | Komentářů: 1
17.8. 12:33 | Nová verze

Byla vydána verze 3.2.0 programu pro skicování, malování a úpravu obrázků Krita. Přehled novinek v poznámkách k vydání a na YouTube.

Ladislav Hagara | Komentářů: 0
17.8. 11:44 | IT novinky

Minulý týden na šampionátu The International 2017 byl představen bot, který poráží profesionální hráče počítačové hry Dota 2. V nejnovějším příspěvku na blogu se organizace OpenAI o projektu více rozepsala a zveřejnila videozáznamy několika soubojů.

Ladislav Hagara | Komentářů: 7
16.8. 17:11 | Komunita

Byly zveřejněny videozáznamy přednášek z Fedora 26 Release Party konané 10. srpna v Praze.

Ladislav Hagara | Komentářů: 0
16.8. 15:33 | Komunita

Přesně před čtyřiadvaceti lety, 16. srpna 1993, oznámil Ian Murdock vydání "Debian Linux Release".

Ladislav Hagara | Komentářů: 8
16.8. 06:00 | Bezpečnostní upozornění

Ve virtualizačním softwaru Xen bylo nalezeno a opraveno 5 bezpečnostních chyb XSA-226 až XSA-230. Nejzávažnější z nich XSA-227 (CVE-2017-12137) umožňuje eskalaci privilegií a ovládnutí celého systému, tj. správce hostovaného systému se může stát správcem hostitelského systému.

Ladislav Hagara | Komentářů: 1
15.8. 22:00 | Zajímavý projekt

V roce 2013 proběhla na Kickstarteru úspěšná kampaň na podporu otevřeného Dobře temperovaného klavíru (Well-Tempered Clavier). Stejný tým s Kimiko Išizaka spustil před týdnem na Kickstarteru kampaň Libre Art of the Fugue na podporu svobodného Umění fugy.

Ladislav Hagara | Komentářů: 2
15.8. 13:55 | Pozvánky

Spolek OpenAlt zve příznivce otevřených technologií a otevřeného přístupu na 143. brněnský sraz, který proběhne v pátek 18. srpna od 18:00 hodin ve sportovním areálu a restauraci BeachPub Sokolák u Brněnské přehrady aneb v hantecu u Prýglu.

Ladislav Hagara | Komentářů: 0
Těžíte nějakou kryptoměnu?
 (4%)
 (2%)
 (17%)
 (76%)
Celkem 353 hlasů
 Komentářů: 21, poslední 13.8. 09:57
    Rozcestník

    Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial

    Byly nalezeny a opraveny bezpečnostní chyby v nástrojích Git (CVE-2017-1000117), Subversion (CVE-2017-9800) a Mercurial (CVE-2017-1000116). Jedná se o nedostatečnou kontrolu URL obsahující ssh. Chyba může vést ke spuštění libovolného příkazu na straně klienta (git clone ssh://-oProxyCommand=gnome-calculator/wat).

    11.8. 23:22 | Ladislav Hagara | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    12.8. 09:36 Jardik
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    Nechapu proc program spousti neco, co napisu do url ze ktere chci klonovat. To je nejaka moderni vec?
    12.8. 10:44 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    Ne, je to chyba. Proto jí opravili a vydali o ní oznámení.
    12.8. 13:11 chrono
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    Pretože pre ssh:// sa môže použiť program ssh (takže napr. pre URL ssh://-oProxyCommand=[snip]/a sa spustí ssh -oProxyCommand=[snip]/a)
    13.8. 11:22 [Jooky]
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    Ja trosku nechapem, co je bezpecnostny problem tu ? ... ked napisem git clone ssh://-oProxyCommand=..., tak je to asi tak, ako ked napisem rm -rf / (ano viem, treba tam dat dalsie prepinace, aby to aktualne coreutils akceptovali).

    Je dobre, ze to opravili, ale pride mi to zas jedna z tych nafuknutych veci ...
    13.8. 12:39 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    To, co předáváte jako parametr git clone, má být URL, takže ať tam napíšete cokoli, nemělo by to spustit vykonávání nějakého kódu. Mnoho webů pro správu zdrojových kódů (třeba GitHub, Bitbucket, GitLab) vám rovnou nabízí sestavené URL nebo celý příkaz pro Git, který máte použít pro klonování, uživatel tu adresu jen zkopíruje do nějakého GUI nástroje nebo do příkazového řádku a nezkoumá URL. GitHub nebo Bitbucket mají dokonce integraci s desktopovými programy, takže kliknutím v prohlížeči se vám rovnou ta GUI aplikace nastartuje a parametr se jí předá na pozadí.

    Ta chyba není žádná katastrofa, protože když někdo klonuje repository, zřejmě za chvíli stejně bude spouštět kód z toho repository, kde je mnohem víc příležitostí schovat tam něco škodlivého. Ale URL má být URL a ne spouštěč příkazu.
    Jendа avatar 13.8. 18:07 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    Případně to může být uvedeno jako adresa submodulu.
    tf_train.py:93: global_step=110749, loss=1.4074e+17
    pavlix avatar 13.8. 12:45 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    Je to drobný bezpečnostní problém s naprosto minimálním dopadem. Pro někoho to bezpečností problém ani není. Není třeba se o tom příliš dohadovat.
    13.8. 23:10 Martin Mareš
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    Právě že pro každého, kdo používá cizí repozitáře se submoduly, je to problém docela podstatný.
    pavlix avatar 13.8. 23:15 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    Já osobně jsem vždy začlenění submodulů bral z hlediska bezpečnosti na roveň se začleněním cizích skriptů, takže bych to jako až tak podstatné zhoršení nevnímal. Záleží, co je to za submodul, ale pokud se z něj používá kód a pokud si dotyčný neráčil změny v kódu (podobně jako změnu v url) zkontrolovat, pak moje představivost při pokusu najít podstatné zhoršení bezpečnosti selhává.
    14.8. 20:15 Martin Mareš
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    Zde je ovšem podstatný rozdíl v tom, že repozitář se submoduly stačí naklonovat, netřeba z něj nic explicitně spouštět.
    pavlix avatar 14.8. 22:48 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    Měl jsem za to, že dokud je nedám explicitně inicializova, že se nic neděje.
    15.8. 00:13 Martin Mareš
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    Stačí třeba git clone --recursive.
    pavlix avatar 15.8. 00:43 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    stativ avatar 15.8. 15:47 stativ | skóre: 54 | blog: SlaNé roury
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    U toho gitu a mercurialu v tom také nevidím problém, ale podle popisu se to u svn dá schovat za 301 redirect. To si tak chcete udělat svn checkout z neškodně vypadajícího url a spustí se vám kalkulačka…
    Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk
    pavlix avatar 15.8. 22:58 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    Subversion je IMO problém samo o sobě. :)

    Založit nové vláknoNahoru


    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.