Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн загрузок в неделю, opennews (??), 02-Сен-21, (0) [смотреть все] По предварительным расчётам, за полгода уязвимость охватывает всё население Мидг, InuYasha (??), 22:52 , 02-Сен-21, (1) +4 Надоже, даже без работы с памятью Кто бы сомневался Толи ещё Rust ожидает , Аноним (2), 22:53 , 02-Сен-21, (2) +10 // Зато с eval ом , Ordu (ok), 00:26 , 03-Сен-21, (7) +3 Просто был бы дырявый софт на Rust Те же яйца только в профиль и большим количе, Аноним (34), 11:57 , 03-Сен-21, (34) +1 Эта проблема решается выкидыванием всех этих NPM и им подобных каргоф ДНК конеч, Аноним (2), 22:55 , 02-Сен-21, (3) // Я правильно тебя понял, ты предлагаешь писать код без библиотек вообще Или у те, Аноним (4), 23:03 , 02-Сен-21, (4) –1 // Сейчас библиотеки такие, что сложность написания кода без них гораздо ниже, чем , Аноним (5), 23:30 , 02-Сен-21, (5) +3 // Сразу видно, что ничего сложнее hello world в жизни не писал , Аноним (10), 01:12 , 03-Сен-21, (10) +7 Хм, hello, world без библиотеки ввода-вывода ну это только на Assembler-е И, Ag (ok), 07:50 , 03-Сен-21, (15) +2 В современных, многозадачных, операционных системах, Вам не дадут из защищенного, andy (??), 11:57 , 03-Сен-21, (35) И ты гарантируешь отсутсвие уязвимостей в этом своем коде без библиотек , Аноним (4), 08:02 , 03-Сен-21, (17) +3 Не в ту сторону воюетеПротив библиотек никто не выступалИ есть разница между уни, Аноним (49), 18:08 , 04-Сен-21, (49) Авторы изделий на JS и для JS, к сожалению, биологически повреждены и любой резу, And (??), 08:25 , 03-Сен-21, (21) –1 // В изначальном сообщении написано следующееПод подобные карги попадают так же в, Аноним (4), 10:32 , 03-Сен-21, (33) Жаль что тебя не изолировали, Аноним (19), 08:06 , 03-Сен-21, (19) Ага-ага Ты и сам не юзаешь сторонние библиотеки или только советуешь , Ненавижу SJW (?), 09:13 , 03-Сен-21, (26) // Там было хоть слово против библиотек , Аноним (49), 18:09 , 04-Сен-21, (50) Всегда такое было, и вот опять , бедный буратино (ok), 00:18 , 03-Сен-21, (6) +2 Вау В eval-языке нашли уязвимость - он может исполнить код, пришедший как дан, Dzen Python (ok), 00:36 , 03-Сен-21, (8) +2 // Кому-то показалось хорошей идеей автоматически выполнять код пришедший как данны, Аноньимъ (ok), 01:13 , 03-Сен-21, (11) +1 // Их сейчас с js на rust переучивают ускоренно, чтоб в ядро коммитили, Аноним (49), 18:11 , 04-Сен-21, (51) +1 Я правильно понимаю, что проблему устранили указанием в документации что API теп, Аноньимъ (ok), 01:12 , 03-Сен-21, (9)   // обычная настройка wpad происходит Стандарт netscape 1996го года Платформенно н, пох. (?), 10:12 , 03-Сен-21, (32) +1   // Сжечь Там есть какое-то оправдание хотя бы для того чтобы вместо настроек прокси, Аноньимъ (ok), 18:03 , 03-Сен-21, (40) –1   // Ты тоже разработчик, что-ли Пойти и прочитать документацию - не Код возвращает , пох. (?), 19:12 , 03-Сен-21, (42) +1   А как это делает этот скрипт Просто списка с фильтром по регуляркам недостаточно, Аноньимъ (ok), 19:31 , 03-Сен-21, (44)   В документации было и осталось предупреждение, что не через vm нельзя запускать , another_one (ok), 09:45 , 04-Сен-21, (48)   Ура 3 миллиона уязвимостей по всему миру , Аноним (14), 05:11 , 03-Сен-21, (14) +1 Да не может такого быть , Какаянахренразница (ok), 07:54 , 03-Сен-21, (16) Красивая халтура Такое не публикуют, или код плохой Это тот признак, по котор, And (??), 08:04 , 03-Сен-21, (18) –1 Неужели Node js всё еще кто-то использует , Аноним (20), 08:25 , 03-Сен-21, (20) –3 // Технологии на базе Жабасрипта рулят , Аноним (-), 08:34 , 03-Сен-21, (22) –4 Да, ёжики , Аноним (5), 08:34 , 03-Сен-21, (23) Дурак Это я вас пользую , Node js (?), 10:00 , 03-Сен-21, (30) +1 Зачем 3 млн юзеров в неделю парсят PAC файлы , Аноним (24), 08:57 , 03-Сен-21, (24) // Это автоматические загрузки по дереву нпм-зависимостей Юзеры даже не в курсе , Аноним (25), 09:04 , 03-Сен-21, (25) +1 // Воистину по дереву , anonymous (??), 09:40 , 03-Сен-21, (29) +1 leftpad такой leftpad, 1 (??), 09:37 , 03-Сен-21, (28) –1 а кто их спрашивал-то , Node js (?), 10:02 , 03-Сен-21, (31) // Подробности интересны Какие конкретно либы и для чего , Аноньимъ (ok), 15:02 , 03-Сен-21, (39) Можно подумать в этом вашем Пэйтоунэ не так же , Аноним (34), 11:58 , 03-Сен-21, (36) // Слабенькая отмазка , Какаянахренразница (ok), 12:07 , 03-Сен-21, (37) +2 Это по определению программа из одной строки на Perl , то есть JavaScript Ровн, Алексей (??), 14:16 , 03-Сен-21, (38) –1 // Не понял, но осуждаю Браузер как и пользователь вообще не причемВыполняет nodejs, Аноним (49), 18:20 , 04-Сен-21, (52) Нужен meta npm с рейтингом модулей За уязвимости рейтинг само собой снижать , Аноним (41), 18:21 , 03-Сен-21, (41) // повышать же ж Кто не сидел тот не паца ой, простите, окошком ошибся В ком не, пох. (?), 19:14 , 03-Сен-21, (43) кто сказал, что это уязвимость , Аноним (45), 19:49 , 03-Сен-21, (45) Любителей тянуть в рот всё свеженькое из непонятных источников опять поимели Вп, Онаним (?), 23:41 , 03-Сен-21, (47) +1 1,2,3,6,8,9,14,16,18,20,24,36,38,41,45,47

Сообщения

[Сортировка по времени | RSS]

9. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+/–
Сообщение от Аноньимъ (ok), 03-Сен-21, 01:12
>Указанный API явно помечен в документации как не предназначенный для запуска кода, не заслуживающего доверия, так как он не предоставляет полноценной изоляции запускаемого кода и позволяет получить доступ к изначальному контексту. Проблема устранена в выпуске pac-resolver 5.0.0, который переведён на использование библиотеки vm2, предоставляющей более высокий уровень изоляции, подходящий для запуска не заслуживающего доверия кода. Я правильно понимаю, что проблему устранили указанием в документации что API теперь предназначено для запуска не заслуживающего доверия кода? >PAC-файл содержит обычный JavaScript-код с функцией FindProxyForURL, определяющей логику выбора прокси в зависимости от хоста и запрашиваемого URL. Суть уязвимости в том, что для выполнения данного JavaScript-кода в pac-resolver применялся предоставляемый в Node.js API Чего блин? Загружать хрен пойми откуда код и выполнять его У СЕБЯ НА СЕРВЕРЕ/приложении чтобы настроить прокси? Что происходит? Что это за нафиг такой? Остановите это немедленно!
Ответить | Правка | Наверх | Cообщить модератору

	32. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+1 +/–
	Сообщение от пох. (?), 03-Сен-21, 10:12
	> Загружать хрен пойми откуда код и выполнять его У СЕБЯ НА СЕРВЕРЕ/приложении чтобы настроить прокси? > Что происходит? обычная настройка wpad происходит. Стандарт netscape 1996го года. Платформенно независимое решение чтоб не бегать всем юзверькам не настраивать вручную. wpad.dat - таки да, содержит js код. Предназначен для выполнения _браузером_ , который вообще рассчитан на выполнение непойми откуда кодов. Попутно у одной корпорации зла есть в dns-сервере интересный костылик, не позволяющий первому попавшемуся васяну раздать по всей твоей организации такой файлик. Но то ж корпорация, зла. А в твоем любимом systemd-allshitd - нету костылика. Весь мусор с пола - сразу в рот.
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	–1 +/–
	Сообщение от Аноньимъ (ok), 03-Сен-21, 18:03
	>обычная настройка wpad происходит. >wpad Сжечь. >wpad.dat - таки да, содержит js код. Предназначен для выполнения _браузером_ , который вообще рассчитан на выполнение непойми откуда кодов. Там есть какое-то оправдание хотя бы для того чтобы вместо настроек прокси выдавать жс код?
	Ответить | Правка | Наверх | Cообщить модератору

	42. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+1 +/–
	Сообщение от пох. (?), 03-Сен-21, 19:12
	Ты тоже разработчик, что-ли? Пойти и прочитать документацию - не? Код возвращает настройку прокси - отдельно для каждого возможного и невозможного урла, потому что, внезапно, они могут отличаться для разных адресов. Расскажи мне, как это сделать универсальным образом без скриптов? И дальше - о ужас, вообще сайт откроется! Вполне возможно - в ИНТЕРНЕТЕ! Который тоже может выполнить в твоем браузере - код! Разница в том, что модные-современные веб-макакеры притащили технологию, предназначенную для исполнения исключительно браузером (где этот код был тщательно ограничен в возможностях что-то пощупать вне браузера) - в саму систему. Поскольку изучить языки отличные от js уже были не в силах. А набор ограничений оставили по дороге - потому что нахрен бы был такой код не нужен никому (вспомним жаба-аплеты которые ничего толком не умели делать именно потому что ничего и не могли) Теперь вот - костылят подпорки уже на самом js. Получается не всегда.
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+/–
	Сообщение от Аноньимъ (ok), 03-Сен-21, 19:31
	> Код возвращает настройку прокси - отдельно для каждого возможного и невозможного урла, > потому что, внезапно, они могут отличаться для разных адресов. Расскажи мне, > как это сделать универсальным образом без скриптов? А как это делает этот скрипт? Просто списка с фильтром по регуляркам недостаточно? >И дальше - о ужас, вообще сайт откроется! Вполне возможно - в ИНТЕРНЕТЕ! Который тоже может выполнить в твоем браузере - код! Этот код как бы обычно остаётся в песочнице бравзера и не изменяет настройки бравзера. Тоже скотство конечно.
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+/–
	Сообщение от another_one (ok), 04-Сен-21, 09:45
	> Я правильно понимаю, что проблему устранили указанием в документации что API теперь предназначено для запуска не заслуживающего доверия кода? В документации было и осталось предупреждение, что не через vm нельзя запускать недоверенный код. А проблему устранили переводом pac-resolver на стороннюю либу vm2, в которой крайне огороженная песочница с ограниченным доступом к текущему runtime.
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема