forum.opennet.ru - "Уязвимость в обработчике GitHub Actions, позволявшая скомпрометировать пакеты в Nixpkgs" (23)

"Уязвимость в обработчике GitHub Actions, позволявшая скомпрометировать пакеты в Nixpkgs"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в обработчике GitHub Actions, позволявшая скомпрометировать пакеты в Nixpkgs"	+/–
Сообщение от opennews (?), 16-Окт-25, 08:51
Раскрыты сведения об уязвимостях в обработчиках GitHub Actions, автоматически вызываемых при отправке pull-запросов в репозиторий пакетов Nixpkgs, применяемый в дистрибутиве NixOS и в экосистеме, связанной с пакетным менеджером Nix. Уязвимость позволяла постороннему извлечь токен, предоставляющий доступ на запись и чтение к исходному коду всех пакетов, размещённых в Nixpkgs. Данный токен позволял напрямую вносить изменения в любой пакет через Git-репозиторий проекта, в обход процессов проверки и рецензирования изменений... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64059
Ответить \| Правка \| Cообщить модератору

Оглавление

Скрыто модератором, наблюдатель (?), 08:51 , 16-Окт-25, (1) –5
Надо было запилить свой гитхаб, но только очень функциональный без всякой вебни, Жироватт (ok), 09:16 , 16-Окт-25, (2) –5

а вообще хотелось бы такого, анон (?), 09:18 , 16-Окт-25, (3)
И пусть каждый pull request требует доказательство от противного Ф 969 Ф , Грустный (?), 09:24 , 16-Окт-25, (4) +4

Но сначала нужно доказать, что тот, кто будет доказывать пулл реквест - является, Жироватт (ok), 09:39 , 16-Окт-25, (5) –1

Все пулл-реквесты по умолчанию реджектятся, а дальше вступает в дело функция, ко, Аноним (6), 10:10 , 16-Окт-25, (6)

Скопировал символ 969 , буду применять в дискуссиях - PS Наверное первая п, _ (??), 22:24 , 17-Окт-25, (23)

Darcs Ну или написанный на Rust Pijul Осталось написать сопоставимый с GitHub са, Аноним (-), 10:18 , 16-Окт-25, (7) –2
Скрыто модератором, User (??), 10:25 , 16-Окт-25, (8) –1

Именно так В других дистрибутивах были уязвимости как в самой инфраструктуре, т, Аноним (10), 11:44 , 16-Окт-25, (10)

Комментарий для ответа пропал, что же , Аноним (10), 11:45 , 16-Окт-25, (11)
Ну да, ну да, как никсоводам набрасывать в новостях по другим дистрам, когда там, Мимопроходил (?), 13:01 , 16-Окт-25, (12) +1

Гитхаб экшоны в nixos не используются ни для чего серьёзного, лишь для проверки , morphe (?), 14:02 , 16-Окт-25, (14) +1
По делу есть что сказать Не вижу контраргумента против быстрого восстановления , Аноним (10), 14:40 , 16-Окт-25, (15) +2

Бэкап на дискетах уже давно не хранят, если что А в остальных случаях, сказки В, Аноним (20), 13:59 , 17-Окт-25, (20)

При чём здесь пересборка из исходных кодов Вы видимо не разбираетесь в nixos от, Аноним (10), 18:15 , 17-Окт-25, (21) –1

Плюсом можно добавить модуль impermanence, который позволяет самому добавлять ди, Amerigo (?), 13:05 , 16-Окт-25, (13)
именно не так репродюсибилити вообще не имеет никакого отношения к надежности и, Аноним (-), 00:34 , 17-Окт-25, (18)

Не знаете что такое воспроизводимость Изучите на досуге А то я перечислил аргу, Аноним (10), 18:17 , 17-Окт-25, (22) –1

что ты несёшь , 12yoexpert (ok), 22:28 , 18-Окт-25, (25)

Эх, а я говорил, что надо слезать с гитхаба, как в Когда убьют тогда и приходи, Аноним (17), 21:04 , 16-Окт-25, (17) +1

тут просто комбо маленькие криворукие nixos-сектанты программисты из опреде, 12yoexpert (ok), 08:42 , 19-Окт-25, (27)

В NixOS Ха Было бы что компроментировать Там уже все скомпрометировано до вас, Аноним (19), 13:26 , 17-Окт-25, (19) –1

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от наблюдатель (?), 16-Окт-25, 08:51 Скрыто ботом-модератором –5 +/–

Я так понимаю ИИ в никсы уже завезли. Очень похоже на уязвимость в гитхабе с выдачей ИИ паролей при прямом запросе.

Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от Жироватт (ok), 16-Окт-25, 09:16 –5 +/–

Надо было запилить свой гитхаб, но только очень функциональный (без всякой вебни и императивщины), с монадами и без постэффектов, а так же декларативный.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #4, #7, #8

3. Сообщение от анон (?), 16-Окт-25, 09:18 +/–

а вообще хотелось бы такого

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

4. Сообщение от Грустный (?), 16-Окт-25, 09:24 +4 +/–

> свой гитхаб
> но только очень функциональный
И пусть каждый pull request требует доказательство от противного. (ФωФ)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #5, #23

5. Сообщение от Жироватт (ok), 16-Окт-25, 09:39 –1 +/–

Но сначала нужно доказать, что тот, кто будет доказывать пулл реквест - является противным.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #6

6. Сообщение от Аноним (6), 16-Окт-25, 10:10 +/–

Все пулл-реквесты по умолчанию реджектятся, а дальше вступает в дело функция, которая выведет доказательство.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

7. Сообщение от Аноним (-), 16-Окт-25, 10:18 –2 +/–

Darcs.
Ну или написанный на Rust Pijul.
Осталось написать сопоставимый с GitHub сайт на Haskell (бэк и, возможно, фронт), PureScript (фронт), Elm (фронт).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

8. Сообщение от User (??), 16-Окт-25, 10:25 Скрыто ботом-модератором –1 +/–

Можно даже без git!
Почему у каких-то бородатых луддитов из OpenBSD есть свой got - а у Самой Передовой В Мире Системы с Самым ЛуДшим Пакетным Менеджером (Который позволяет держать в системе ВСЕ версии пакета одновременно!*) - своей Самой Лудшей В Мире (Основанной на наработках пакетного менеджера) системы управления версиями нет?!!
("Все" означает "все, КРОМЕ луддитских X11 от Васянов)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

10. Сообщение от Аноним (10), 16-Окт-25, 11:44 +/–

> Самая надежная NixOS.
Именно так. В других дистрибутивах были уязвимости как в самой инфраструктуре, так и в пакетных менеджерах. Но, в отличие от nixos, в других дистрибутивах ты можешь лишь гадать что у тебя там зловред в системе изгадил. В nixos пересобрать систему ты можешь в любой момент, сделать её чистой установкой одной командой.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #12, #13, #18, #25

11. Сообщение от Аноним (10), 16-Окт-25, 11:45 +/–

Комментарий для ответа пропал, что же...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

12. Сообщение от Мимопроходил (?), 16-Окт-25, 13:01 +1 +/–

>> Самая надежная NixOS.
> Именно так. В других дистрибутивах были уязвимости как в самой инфраструктуре, так
> и в пакетных менеджерах. Но, в отличие от nixos, в других
> дистрибутивах ты можешь лишь гадать что у тебя там зловред в
> системе изгадил. В nixos пересобрать систему ты можешь в любой момент,
> сделать её чистой установкой одной командой.
Ну да, ну да, как никсоводам набрасывать в новостях по другим дистрам, когда там обcepyтся, так это за здоров живёшь, а как у никсоводов жиденько тренькнули в штанишки, то сразу: "ну, оно всё же не такое жиденькое, как у других, и даже не такое пачкающее, и не такое вонючее, вон клеёночку мы покладываем и можно быстренько сполоснуться под душиком!"
Пц, никсоводы мастера этодругина и переобувки в воздухе 80 lvl xD

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #14, #15

13. Сообщение от Amerigo (?), 16-Окт-25, 13:05 +/–

Плюсом можно добавить модуль impermanence, который позволяет самому добавлять директории на диск, а остальную систему держать в tmpfs (хоть весь / если захочется). B получается чистая и предсказуемая система, которая не захламляется мусором и кэшем.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

14. Сообщение от morphe (?), 16-Окт-25, 14:02 +1 +/–

Гитхаб экшоны в nixos не используются ни для чего серьёзного, лишь для проверки кодстайла и прочего, я удивлён что там вообще какие-то credentials существуют зачем-то
Чтобы атака к чему-либо привела, атаковать надо hydra.nixos.org, что уже и является CI. Либо хотя бы ofborg, потому что у него право на мерж есть и доступ хоть к каким то сборочным машинам.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

15. Сообщение от Аноним (10), 16-Окт-25, 14:40 +2 +/–

По делу есть что сказать? Не вижу контраргумента против быстрого восстановления чистой системы. В других дистрибутивах ты НЕ сможешь найти зловред и тебе придётся либо целиком накатывать бекап, либо переустанавливать. Теперь понятно?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #20

17. Сообщение от Аноним (17), 16-Окт-25, 21:04 +1 +/–

Эх, а я говорил, что надо слезать с гитхаба, как в: "Когда убьют тогда и приходите"

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27

18. Сообщение от Аноним (-), 17-Окт-25, 00:34 +/–

именно не так
"репродюсибилити" вообще не имеет никакого отношения к надежности и самому факту что систему изгадил зловред
манипуляшки у никсосеров уровня дошколят

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #22

19. Сообщение от Аноним (19), 17-Окт-25, 13:26 –1 +/–

В NixOS? Ха! Было бы что компроментировать. Там уже все скомпрометировано до вас.

Ответить | Правка | Наверх | Cообщить модератору

20. Сообщение от Аноним (20), 17-Окт-25, 13:59 +/–

> По делу есть что сказать? Не вижу контраргумента против быстрого восстановления чистой
> системы. В других дистрибутивах ты НЕ сможешь найти зловред и тебе
> придётся либо целиком накатывать бекап, либо переустанавливать. Теперь понятно?
Бэкап на дискетах уже давно не хранят, если что. А в остальных случаях, сказки Венского Леса о том, что пересборка всего и вся из сорцов будет быстрее восстановления из бэкапа ... вызывают некоторые сомнения.
Ну и да: "сделать её чистой установкой одной командой." не очистит твой хомяк от зловреда.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #21

21. Сообщение от Аноним (10), 17-Окт-25, 18:15 –1 +/–

> пересборка всего и вся из сорцов
При чём здесь пересборка из исходных кодов? Вы видимо не разбираетесь в nixos от слова совсем. Поставьте, изучите, поймёте в чём ошибаетесь. А то критикуете впустую.
> Ну и да: "сделать её чистой установкой одной командой." не очистит твой хомяк от зловреда.
Очистит, так как в nixos есть home manager для декларативного управления конфигами и (при наличии) бинарников в директории пользователя.
Ещё раз: в nixos контролируется не только системные конфиги и бинарники, но и пользовательские home.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

22. Сообщение от Аноним (10), 17-Окт-25, 18:17 –1 +/–

Не знаете что такое воспроизводимость? Изучите на досуге. А то я перечислил аргументы, а вы что в контраргументы приводите? Ничего кроме кривляний.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

23. Сообщение от _ (??), 17-Окт-25, 22:24 +/–

Скопировал символ "ω", буду применять в дискуссиях ;-)

PS: Наверное первая полезная вещь от всех никсос-тусовки :-р

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

25. Сообщение от 12yoexpert (ok), 18-Окт-25, 22:28 +/–

что ты несёшь?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

27. Сообщение от 12yoexpert (ok), 19-Окт-25, 08:42 +/–

тут просто комбо: маленькие криворукие nixos-сектанты + "программисты" из определённой страны из майкрософт

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от наблюдатель (?), 16-Окт-25, 08:51 Скрыто ботом-модератором	–5 +/–
Я так понимаю ИИ в никсы уже завезли. Очень похоже на уязвимость в гитхабе с выдачей ИИ паролей при прямом запросе.
Ответить \| Правка \| Наверх \| Cообщить модератору

2. Сообщение от Жироватт (ok), 16-Окт-25, 09:16	–5 +/–
Надо было запилить свой гитхаб, но только очень функциональный (без всякой вебни и императивщины), с монадами и без постэффектов, а так же декларативный.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #3, #4, #7, #8

3. Сообщение от анон (?), 16-Окт-25, 09:18	+/–
а вообще хотелось бы такого
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

4. Сообщение от Грустный (?), 16-Окт-25, 09:24	+4 +/–
> свой гитхаб > но только очень функциональный И пусть каждый pull request требует доказательство от противного. (ФωФ)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #5, #23

5. Сообщение от Жироватт (ok), 16-Окт-25, 09:39	–1 +/–
Но сначала нужно доказать, что тот, кто будет доказывать пулл реквест - является противным.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #6

6. Сообщение от Аноним (6), 16-Окт-25, 10:10	+/–
Все пулл-реквесты по умолчанию реджектятся, а дальше вступает в дело функция, которая выведет доказательство.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

7. Сообщение от Аноним (-), 16-Окт-25, 10:18	–2 +/–
Darcs. Ну или написанный на Rust Pijul. Осталось написать сопоставимый с GitHub сайт на Haskell (бэк и, возможно, фронт), PureScript (фронт), Elm (фронт).
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

8. Сообщение от User (??), 16-Окт-25, 10:25 Скрыто ботом-модератором	–1 +/–
Можно даже без git! Почему у каких-то бородатых луддитов из OpenBSD есть свой got - а у Самой Передовой В Мире Системы с Самым ЛуДшим Пакетным Менеджером (Который позволяет держать в системе ВСЕ версии пакета одновременно!*) - своей Самой Лудшей В Мире (Основанной на наработках пакетного менеджера) системы управления версиями нет?!! ("Все" означает "все, КРОМЕ луддитских X11 от Васянов)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

10. Сообщение от Аноним (10), 16-Окт-25, 11:44	+/–
> Самая надежная NixOS. Именно так. В других дистрибутивах были уязвимости как в самой инфраструктуре, так и в пакетных менеджерах. Но, в отличие от nixos, в других дистрибутивах ты можешь лишь гадать что у тебя там зловред в системе изгадил. В nixos пересобрать систему ты можешь в любой момент, сделать её чистой установкой одной командой.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #11, #12, #13, #18, #25

11. Сообщение от Аноним (10), 16-Окт-25, 11:45	+/–
Комментарий для ответа пропал, что же...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10

12. Сообщение от Мимопроходил (?), 16-Окт-25, 13:01	+1 +/–
>> Самая надежная NixOS. > Именно так. В других дистрибутивах были уязвимости как в самой инфраструктуре, так > и в пакетных менеджерах. Но, в отличие от nixos, в других > дистрибутивах ты можешь лишь гадать что у тебя там зловред в > системе изгадил. В nixos пересобрать систему ты можешь в любой момент, > сделать её чистой установкой одной командой. Ну да, ну да, как никсоводам набрасывать в новостях по другим дистрам, когда там обcepyтся, так это за здоров живёшь, а как у никсоводов жиденько тренькнули в штанишки, то сразу: "ну, оно всё же не такое жиденькое, как у других, и даже не такое пачкающее, и не такое вонючее, вон клеёночку мы покладываем и можно быстренько сполоснуться под душиком!" Пц, никсоводы мастера этодругина и переобувки в воздухе 80 lvl xD
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #14, #15

13. Сообщение от Amerigo (?), 16-Окт-25, 13:05	+/–
Плюсом можно добавить модуль impermanence, который позволяет самому добавлять директории на диск, а остальную систему держать в tmpfs (хоть весь / если захочется). B получается чистая и предсказуемая система, которая не захламляется мусором и кэшем.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10

14. Сообщение от morphe (?), 16-Окт-25, 14:02	+1 +/–
Гитхаб экшоны в nixos не используются ни для чего серьёзного, лишь для проверки кодстайла и прочего, я удивлён что там вообще какие-то credentials существуют зачем-то Чтобы атака к чему-либо привела, атаковать надо hydra.nixos.org, что уже и является CI. Либо хотя бы ofborg, потому что у него право на мерж есть и доступ хоть к каким то сборочным машинам.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12

15. Сообщение от Аноним (10), 16-Окт-25, 14:40	+2 +/–
По делу есть что сказать? Не вижу контраргумента против быстрого восстановления чистой системы. В других дистрибутивах ты НЕ сможешь найти зловред и тебе придётся либо целиком накатывать бекап, либо переустанавливать. Теперь понятно?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #20

17. Сообщение от Аноним (17), 16-Окт-25, 21:04	+1 +/–
Эх, а я говорил, что надо слезать с гитхаба, как в: "Когда убьют тогда и приходите"
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #27

18. Сообщение от Аноним (-), 17-Окт-25, 00:34	+/–
именно не так "репродюсибилити" вообще не имеет никакого отношения к надежности и самому факту что систему изгадил зловред манипуляшки у никсосеров уровня дошколят
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #22

19. Сообщение от Аноним (19), 17-Окт-25, 13:26	–1 +/–
В NixOS? Ха! Было бы что компроментировать. Там уже все скомпрометировано до вас.
Ответить \| Правка \| Наверх \| Cообщить модератору

20. Сообщение от Аноним (20), 17-Окт-25, 13:59	+/–
> По делу есть что сказать? Не вижу контраргумента против быстрого восстановления чистой > системы. В других дистрибутивах ты НЕ сможешь найти зловред и тебе > придётся либо целиком накатывать бекап, либо переустанавливать. Теперь понятно? Бэкап на дискетах уже давно не хранят, если что. А в остальных случаях, сказки Венского Леса о том, что пересборка всего и вся из сорцов будет быстрее восстановления из бэкапа ... вызывают некоторые сомнения. Ну и да: "сделать её чистой установкой одной командой." не очистит твой хомяк от зловреда.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15 Ответы: #21

21. Сообщение от Аноним (10), 17-Окт-25, 18:15	–1 +/–
> пересборка всего и вся из сорцов При чём здесь пересборка из исходных кодов? Вы видимо не разбираетесь в nixos от слова совсем. Поставьте, изучите, поймёте в чём ошибаетесь. А то критикуете впустую. > Ну и да: "сделать её чистой установкой одной командой." не очистит твой хомяк от зловреда. Очистит, так как в nixos есть home manager для декларативного управления конфигами и (при наличии) бинарников в директории пользователя. Ещё раз: в nixos контролируется не только системные конфиги и бинарники, но и пользовательские home.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20

22. Сообщение от Аноним (10), 17-Окт-25, 18:17	–1 +/–
Не знаете что такое воспроизводимость? Изучите на досуге. А то я перечислил аргументы, а вы что в контраргументы приводите? Ничего кроме кривляний.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18

23. Сообщение от _ (??), 17-Окт-25, 22:24	+/–
Скопировал символ "ω", буду применять в дискуссиях ;-) PS: Наверное первая полезная вещь от всех никсос-тусовки :-р
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

25. Сообщение от 12yoexpert (ok), 18-Окт-25, 22:28	+/–
что ты несёшь?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10

27. Сообщение от 12yoexpert (ok), 19-Окт-25, 08:42	+/–
тут просто комбо: маленькие криворукие nixos-сектанты + "программисты" из определённой страны из майкрософт
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17