commit -m "better"

https://www.opennet.ru/opennews/art.shtml?num=62469

#selfhost

"Опубликован корректирующий релиз платформы совместной разработки Gogs 0.13.2, в котором устранено 6 уязвимостей. 5 уязвимостям присвоен критический уровень опасности (10 из 10). Исправленные проблемы позволяют непривилегированному пользователю Gogs выполнить код на сервере, изменить данные в репозиториях других пользователей или получить SSH-доступ к серверу"

Проект (git хостинг) написан на memory safe языке (нет, не на том, на другом), поэтому ошибки про обработку "../" в путях.

Мораль?

* Не надо поддерживать свою васянскую инфру (#gitlab #infra), а надо брать, и использовать github.

* По мере переписывания с С/C++ на memory safe языки, CVE меньше не будет, потому что безопасники тоже хотят кушать, просто искать их будут в других местах, возможно, поиск станет чуть дороже.

Пара перлов с opennet, от расто-любов/хейтеров:

"Не понимаю почему такие критически важные для инфраструктуры программы еще не переписали на расте. Неуженли люди осознанно отказываются писать программы без ошибок и приближать цифровой коммунизм?"

"Потому что Раст рекламируют нейросети для компаний, которым нужны новые хомячки-погроммисты за миску риса. Сишник ещё имеет некоторую свободу выбора"

"А вот будь оно на Си..."

www.opennet.ru

Пять уязвимостей в платформе совместной разработки Gogs, позволяющих выполнить код на сервере

Опубликован корректирующий релиз платформы совместной разработки Gogs 0.13.2, в котором устранено 6 уязвимостей. 5 уязвимостям присвоен критический уровень опасности (10 из 10). Исправленные проблемы позволяют непривилегированному пользователю Gogs выполнить…

🤡18😁8👍6👎3🐳2

www.tgoop.com/itpgchannel/2544

2.05K viewsedited  Dec 26, 2024 at 12:45

https://www.opennet.ru/opennews/art.shtml?num=62469

#selfhost

"Опубликован корректирующий релиз платформы совместной разработки Gogs 0.13.2, в котором устранено 6 уязвимостей. 5 уязвимостям присвоен критический уровень опасности (10 из 10). Исправленные проблемы позволяют непривилегированному пользователю Gogs выполнить код на сервере, изменить данные в репозиториях других пользователей или получить SSH-доступ к серверу"

Проект (git хостинг) написан на memory safe языке (нет, не на том, на другом), поэтому ошибки про обработку "../" в путях.

Мораль?

* Не надо поддерживать свою васянскую инфру (#gitlab #infra), а надо брать, и использовать github.

* По мере переписывания с С/C++ на memory safe языки, CVE меньше не будет, потому что безопасники тоже хотят кушать, просто искать их будут в других местах, возможно, поиск станет чуть дороже.

Пара перлов с opennet, от расто-любов/хейтеров:

"Не понимаю почему такие критически важные для инфраструктуры программы еще не переписали на расте. Неуженли люди осознанно отказываются писать программы без ошибок и приближать цифровой коммунизм?"

"Потому что Раст рекламируют нейросети для компаний, которым нужны новые хомячки-погроммисты за миску риса. Сишник ещё имеет некоторую свободу выбора"

"А вот будь оно на Си..."

BY commit -m "better"