abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 23:33 | Nová verze

    Společnost comma.ai po třech letech od vydání verze 0.9 vydala novou verzi 0.10 open source pokročilého asistenčního systému pro řidiče openpilot (Wikipedie). Zdrojové kódy jsou k dispozici na GitHubu.

    Ladislav Hagara | Komentářů: 0
    včera 21:55 | Nová verze Ladislav Hagara | Komentářů: 0
    včera 14:11 | IT novinky

    Řada vestavěných počítačových desek a vývojových platforem NVIDIA Jetson se rozrostla o NVIDIA Jetson Thor. Ve srovnání se svým předchůdcem NVIDIA Jetson Orin nabízí 7,5krát vyšší výpočetní výkon umělé inteligence a 3,5krát vyšší energetickou účinnost. Softwarový stack NVIDIA JetPack 7 je založen na Ubuntu 24.04 LTS.

    Ladislav Hagara | Komentářů: 2
    včera 00:44 | Bezpečnostní upozornění

    Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) spolu s NSA a dalšími americkými úřady upozorňuje (en) na čínského aktéra Salt Typhoon, který kompromituje sítě po celém světě.

    Ladislav Hagara | Komentářů: 20
    27.8. 16:33 | IT novinky

    Společnost Framework Computer představila (YouTube) nový výkonnější Framework Laptop 16. Rozhodnou se lze například pro procesor Ryzen AI 9 HX 370 a grafickou kartu NVIDIA GeForce RTX 5070.

    Ladislav Hagara | Komentářů: 1
    27.8. 14:22 | IT novinky

    Google oznamuje, že na „certifikovaných“ zařízeních s Androidem omezí instalaci aplikací (včetně „sideloadingu“) tak, že bude vyžadovat, aby aplikace byly podepsány centrálně registrovanými vývojáři s ověřenou identitou. Tato politika bude implementována během roku 2026 ve vybraných zemích (jihovýchodní Asie, Brazílie) a od roku 2027 celosvětově.

    Fluttershy, yay! | Komentářů: 7
    27.8. 13:11 | Nová verze

    Byla vydána nová verze 21.1.0, tj. první stabilní verze z nové řady 21.1.x, překladačové infrastruktury LLVM (Wikipedie). Přehled novinek v poznámkách k vydání: LLVM, Clang, LLD, Extra Clang Tools a Libc++.

    Ladislav Hagara | Komentářů: 0
    27.8. 05:11 | Komunita

    Alyssa Anne Rosenzweig v příspěvku na svém blogu oznámila, že opustila Asahi Linux a nastoupila do Intelu. Místo Apple M1 a M2 se bude věnovat architektuře Intel Xe-HPG.

    Ladislav Hagara | Komentářů: 18
    26.8. 12:55 | IT novinky

    EU chce (pořád) skenovat soukromé zprávy a fotografie. Návrh "Chat Control" by nařídil skenování všech soukromých digitálních komunikací, včetně šifrovaných zpráv a fotografií.

    Ladislav Hagara | Komentářů: 66
    26.8. 12:11 | Nová verze

    Byly publikovány fotografie a všechny videozáznamy z Python konference PyCon US 2025 proběhlé v květnu.

    Ladislav Hagara | Komentářů: 0
    Pro otevření více webových stránek ve webovém prohlížečí používám
     (79%)
     (9%)
     (3%)
     (4%)
     (5%)
     (1%)
    Celkem 104 hlasů
     Komentářů: 9, poslední včera 11:53
    Rozcestník

    Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial

    Byly nalezeny a opraveny bezpečnostní chyby v nástrojích Git (CVE-2017-1000117), Subversion (CVE-2017-9800) a Mercurial (CVE-2017-1000116). Jedná se o nedostatečnou kontrolu URL obsahující ssh. Chyba může vést ke spuštění libovolného příkazu na straně klienta (git clone ssh://-oProxyCommand=gnome-calculator/wat).

    11.8.2017 23:22 | Ladislav Hagara | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    12.8.2017 09:36 Jardik
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    Nechapu proc program spousti neco, co napisu do url ze ktere chci klonovat. To je nejaka moderni vec?
    12.8.2017 10:44 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    Ne, je to chyba. Proto jí opravili a vydali o ní oznámení.
    12.8.2017 13:11 chrono
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    Pretože pre ssh:// sa môže použiť program ssh (takže napr. pre URL ssh://-oProxyCommand=[snip]/a sa spustí ssh -oProxyCommand=[snip]/a)
    13.8.2017 11:22 [Jooky]
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    Ja trosku nechapem, co je bezpecnostny problem tu ? ... ked napisem git clone ssh://-oProxyCommand=..., tak je to asi tak, ako ked napisem rm -rf / (ano viem, treba tam dat dalsie prepinace, aby to aktualne coreutils akceptovali).

    Je dobre, ze to opravili, ale pride mi to zas jedna z tych nafuknutych veci ...
    13.8.2017 12:39 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    To, co předáváte jako parametr git clone, má být URL, takže ať tam napíšete cokoli, nemělo by to spustit vykonávání nějakého kódu. Mnoho webů pro správu zdrojových kódů (třeba GitHub, Bitbucket, GitLab) vám rovnou nabízí sestavené URL nebo celý příkaz pro Git, který máte použít pro klonování, uživatel tu adresu jen zkopíruje do nějakého GUI nástroje nebo do příkazového řádku a nezkoumá URL. GitHub nebo Bitbucket mají dokonce integraci s desktopovými programy, takže kliknutím v prohlížeči se vám rovnou ta GUI aplikace nastartuje a parametr se jí předá na pozadí.

    Ta chyba není žádná katastrofa, protože když někdo klonuje repository, zřejmě za chvíli stejně bude spouštět kód z toho repository, kde je mnohem víc příležitostí schovat tam něco škodlivého. Ale URL má být URL a ne spouštěč příkazu.
    Jendа avatar 13.8.2017 18:07 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    Případně to může být uvedeno jako adresa submodulu.
    pavlix avatar 13.8.2017 12:45 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    Je to drobný bezpečnostní problém s naprosto minimálním dopadem. Pro někoho to bezpečností problém ani není. Není třeba se o tom příliš dohadovat.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    13.8.2017 23:10 Martin Mareš
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    Právě že pro každého, kdo používá cizí repozitáře se submoduly, je to problém docela podstatný.
    pavlix avatar 13.8.2017 23:15 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    Já osobně jsem vždy začlenění submodulů bral z hlediska bezpečnosti na roveň se začleněním cizích skriptů, takže bych to jako až tak podstatné zhoršení nevnímal. Záleží, co je to za submodul, ale pokud se z něj používá kód a pokud si dotyčný neráčil změny v kódu (podobně jako změnu v url) zkontrolovat, pak moje představivost při pokusu najít podstatné zhoršení bezpečnosti selhává.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    14.8.2017 20:15 Martin Mareš
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    Zde je ovšem podstatný rozdíl v tom, že repozitář se submoduly stačí naklonovat, netřeba z něj nic explicitně spouštět.
    pavlix avatar 14.8.2017 22:48 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    Měl jsem za to, že dokud je nedám explicitně inicializova, že se nic neděje.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    15.8.2017 00:13 Martin Mareš
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    Stačí třeba git clone --recursive.
    pavlix avatar 15.8.2017 00:43 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    Fair enough.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    stativ avatar 15.8.2017 15:47 stativ | skóre: 54 | blog: SlaNé roury
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    U toho gitu a mercurialu v tom také nevidím problém, ale podle popisu se to u svn dá schovat za 301 redirect. To si tak chcete udělat svn checkout z neškodně vypadajícího url a spustí se vám kalkulačka…
    Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk
    pavlix avatar 15.8.2017 22:58 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby v nástrojích Git, Subversion a Mercurial
    Subversion je IMO problém samo o sobě. :)
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.

    Založit nové vláknoNahoru


    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.