https://opennet.ru/openforum/vsluhforumID3/133595.html В JavaScript-библиотеке xml-crypto, используемой в качестве зависимости у 402 проектов и загружаемой из каталога NPM около миллиона раз каждую неделю, выявлена уязвимость (CVE-2024-32962), которой присвоен максимальный уровень опасности (10 из 10). Библиотека предоставляет функции для шифрования и верификации по цифровой подписи XML-документов. Уязвимость даёт возможность атакующему заверить фиктивный документ, который в конфигурации по умолчанию будет успешно верифицирован библиотекой, несмотря на то, что он подписан не тем ключом, что указан для проверки подписей. Проблема проявляется начина с версии xml-crypto 4.0.0 и без лишней огласки устранена в январском выпуске 6.0.0...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61112<br> https://opennet.ru/openforum/vsluhforumID3/133595.html#22 Sun, 05 May 2024 12:11:59 GMT &gt; загружаемой из каталога NPM <br><br>Пишите заголовки правильно - не "в библиотеке xml-crypto", а "в javascript-библиотеке xml-crypto", чтобы сразу было понятно, из-под какой коровы удобрение.<br>И чтоб два раза не вставать - вот это умиляет (https://www.npmjs.com/package/xml-crypto):<br>&gt; A pre requisite it to have openssl installed and its /bin to be on the system path<br><br>Ну, то есть, вы поняли - оно не либу дёргает за API, а бинарник запускает.<br> https://opennet.ru/openforum/vsluhforumID3/133595.html#21 Sat, 04 May 2024 18:23:03 GMT &gt;Миллион дыр в неделю<br><br>нет, миллион коммитов в корявых CI, которые выкачивают каждый раз эту нишевую либу по-новой. <br><br>не думаю, что на планете много проектов где на жабоскрипте проверяют подписи в XMLях<br> https://opennet.ru/openforum/vsluhforumID3/133595.html#20 Sat, 04 May 2024 08:22:19 GMT Сравнение с xz было б более уместно, если здесь тоже был удаленный доступ к системе или похожее.<br> https://opennet.ru/openforum/vsluhforumID3/133595.html#19 Sat, 04 May 2024 07:52:26 GMT &gt; Проблема проявляется начина с версии xml-crypto 4.0.0 и без лишней огласки устранена в январском выпуске 6.0.0. <br><br>Хорошо, хоть только сейчас огласили, выждали время.<br><br>А разработчики, проектные менеджеры и руководство компаний часто пренебрегает обновлениями компонентов. А это нужно делать регулярно.<br> https://opennet.ru/openforum/vsluhforumID3/133595.html#18 Sat, 04 May 2024 07:31:19 GMT Т.е. по мнению сообщество xz это злонамеренный троян. А тут просто чудовищная ошибка? И у этой ошибки нет ни имени ни адреса? И вообще никто не виноват.<br> https://opennet.ru/openforum/vsluhforumID3/133595.html#17 Sat, 04 May 2024 07:29:28 GMT Если код компилируется значит работает (tm)<br> https://opennet.ru/openforum/vsluhforumID3/133595.html#15 Sat, 04 May 2024 06:51:43 GMT Багофича ) для выявления тех, кто код не тестирует ))) и тех, кто тестирует только успешную валидацию, а неуспешную не проверяет))<br> https://opennet.ru/openforum/vsluhforumID3/133595.html#12 Fri, 03 May 2024 23:50:31 GMT А она и не решаема. Неужели ли непонятно, что каждая зависимость это даже не то чтобы дыра, там лишь бы оно вообще работало. Безопасность там вообще аут оф скоуп. Это вообще отдельный жанр.<br> https://opennet.ru/openforum/vsluhforumID3/133595.html#11 Fri, 03 May 2024 23:34:06 GMT &gt;Библиотека предоставляет функции для шифрования и верификации по цифровой подписи XML-документов.<br><br>Лишь бы gpg/ssh не использовать.<br>