Мудрая мысль не имеет срока годности.

Заходит учитель информатики в класс за 5 минут до начала урока. Смотрит — все ученики уже сидят за машинами, программы пишут. ...

Линус Торвальдс поднял вопрос целесообразности расширенной защиты от Spectre v2
Tue, 20 Nov 2018 09:48:49 +0300

В ночные сборки Firefox добавлена поддержка Wayland
Sat, 17 Nov 2018 12:19:38 +0300

Amazon выпустил Corretto, дистрибутив OpenJDK с длительным сроком поддержки
Fri, 16 Nov 2018 21:56:19 +0300

Время поддержки Ubuntu 18.04 увеличено до 10 лет
Thu, 15 Nov 2018 22:28:55 +0300

Представлена новая плата Raspberry Pi 3 Model A+
Thu, 15 Nov 2018 12:31:03 +0300

Подведены итоги выборов технического совета Linux Foundation
Thu, 15 Nov 2018 09:18:07 +0300

Debian запрещает использование в пакетах секции со специфичными для вендоров патчами
Wed, 14 Nov 2018 09:03:34 +0300

В Chrome развивается API для создания полноценных пользовательских приложений
Mon, 12 Nov 2018 23:58:04 +0300

Mozilla тестирует в Firefox две новые возможности: Price Wise и Email Tabs
Mon, 12 Nov 2018 21:15:57 +0300

Red Hat перевёл проект Ceph под покровительство Linux Foundation
Mon, 12 Nov 2018 18:26:46 +0300

HTTP поверх протокола QUIC будет стандартизирован как HTTP/3
Mon, 12 Nov 2018 08:27:27 +0300

Опубликован стандарт параллельного программирования OpenMP 5.0
Fri, 09 Nov 2018 10:49:14 +0300

Свободный проект Manuel Bastioni Laboratory закрывается
Fri, 09 Nov 2018 10:11:44 +0300

Samsung опубликовал Linux-окружение для смартфонов и планшетов с адаптером DeX
Fri, 09 Nov 2018 08:33:53 +0300

GitHub преодолел рубеж в 100 млн репозиториев
Thu, 08 Nov 2018 19:13:13 +0300

Новости OPENNET
Новости

Представлены корректирующие выпуски всех поддерживаемых веток системы управления исходными текстами Git (2.17.1, 2.13.7, 2.14.4, 2.15.2, 2.16.4), в которых устранены две уязвимости, одна из которых может быть использована для запуска кода злоумышленника при обращении к вредоносному репозиторию. Обновления пакетов с устранением проблемы выпущены для Debian и Fedora, и ожидаются для RHEL, Ubuntu и SUSE.

  • CVE-2018-11235 - возможность выхода за границы базового каталога репозитория через использование символов "../" в относительном пути к субмодулю, определённому в файле ".gitmodules". Штатно субмодули размещаются внутри собственного каталога .git/modules/, но благодаря уязвимости имеется возможность выхода за его пределы при выполнении операции извлечения субмодуля.
  • При обращении пользователя к контролируемому злоумышленником репозиторию возможна организация атаки по созданию/переписи файла вне каталога

    ".git" с правами текущего пользователя. Атака может быть доведена до запуска кода на сервере при рекурсивном клонировании вредоносного репозитория, например, через подстановку скрипта post-checkout в файл .git/config. Для эксплуатации уязвимости клиент обязательно должен выполнить "git clone --recurse-submodules" или "git clone --recursive", при простом клонировании без субмодулей проблема не проявляется;
  • CVE-2018-11233 - чтение случайных частей памяти процесса git через создание в файловой системе NTFS специально оформленных путей.

Дополнительно в новых выпусках добавлена возможность блокирования на стороне сервера push-операций с попыткой создания проблемного файла .gitmodules в качестве превентивной меры защиты от добавления вредоносных репозиториев в системах совместного хостинга кода. Режим блокировки включается наряду с другими мерами усиления защиты при наличии параметра receive.fsckObjects в настройках на стороне сервера. Например, ранее подобным образом уже было запрещено создание каталога ".GIT" с изменением регистра символов.

0 0

НОВОСТИ: Началось бета-тестирование Red Hat Enterprise Linux 8 Thu, 15 Nov 2018 18:44:02 +0300

Компания Red Hat представила первую бета-версию дистрибутива Red Hat Enterprise Linux 8. Готовые установочные образы публично доступны для архитектур x86_64, s390x (IBM System z), ppc64le и Aarch64 (ARM64). Исходные тексты rpm-пакетов Red Hat Enterprise Linux 8 доступны через Git-репозиторий CentOS. Релиз ожидается в первой половине следующего года.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome