https://opennet.ru/openforum/vsluhforumID3/112763.html Опубликованы (http://seclists.org/oss-sec/2017/q4/279) сведения о двух уязвимостях, устранённых в недавно опубликованных выпусках документ-ориентированной СУБД Apache CouchDB 2.1.1 и 1.7.1 (http://couchdb.apache.org/). В своей комбинации уязвимости позволяют провести атаку по удалённому выполнению произвольных shell-команд на сервере с правами процесса CouchDB, имея доступ к БД. <br><br><br>Проблему усугубляет то, что по недосмотру или задумке администраторов многие БД под управлением CouchDB не защищены и открыты для доступа без аутентификации, чем уже пользуются (https://www.opennet.ru/opennews/art.shtml?num=45903) вредоносные программы-шифровальщики. Уязвимости позволяют не только получить контроль над данными, но и продолжить атаку для получения контроля за всем сервером. Так как CouchDB применяется в реестре NPM для упрощение репликации данных на системы пользователей, уязвимости могли использоваться (https://justi.cz/security/2017/11/14/couchdb-rce-npm.html) для изменения произвольных пакетов в реестре NPM ( https://opennet.ru/openforum/vsluhforumID3/112763.html#23 Tue, 28 Nov 2017 17:07:15 GMT Спасибо, будем обновляться.<br> https://opennet.ru/openforum/vsluhforumID3/112763.html#17 Thu, 16 Nov 2017 10:48:47 GMT javascript не нужен, вспомните npm left pad!<br> https://opennet.ru/openforum/vsluhforumID3/112763.html#16 Thu, 16 Nov 2017 06:24:54 GMT Зачем? Мы это и так знаем.<br> https://opennet.ru/openforum/vsluhforumID3/112763.html#13 Thu, 16 Nov 2017 00:37:01 GMT Ага. И поэтому "реализация на JavaScript выдаст пустую строку". Наверное потому, что жавоскритокодеры понимаю "first occurrence" как "последнее вхождение".<br> https://opennet.ru/openforum/vsluhforumID3/112763.html#12 Thu, 16 Nov 2017 00:19:11 GMT http://blog.npmjs.org/post/75707294465/new-npm-registry-architecture<br> https://opennet.ru/openforum/vsluhforumID3/112763.html#11 Wed, 15 Nov 2017 23:00:54 GMT CouchDB уже несколько лет не используется в npm. Они просто поддерживают старое апи для совместимости. В блоге автора npm на медиуме описана текущая архитектура проекта. <br> https://opennet.ru/openforum/vsluhforumID3/112763.html#10 Wed, 15 Nov 2017 22:58:25 GMT &gt; Вот хороший пример того, что и на эрланге лажануть можно<br><br>... если ты яваскриптер.<br> https://opennet.ru/openforum/vsluhforumID3/112763.html#6 Wed, 15 Nov 2017 22:08:28 GMT &gt; При наличии дубликатов ключей парсер на Erlang выдаёт первое совпадение<br><br>"If there is more than one entry in a list for a certain key, the first occurrence normally overrides any later" - прочитать и подумать, видать, не судьба была.<br>Вот хороший пример того, что и на эрланге лажануть можно.<br> https://opennet.ru/openforum/vsluhforumID3/112763.html#4 Wed, 15 Nov 2017 21:53:44 GMT дрыхнет, небось, зараза. Ну ничего, вспомим leftpad без него.<br><br>