Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

RCE-уязвимость в NPM-пакете JsonWebToken, насчитывающем 10 млн загрузок в неделю, opennews (??), 11-Янв-23, (0) [смотреть все] Откуда такие цифры В интернете реально столько много сайтов, что какая-то левая, Аноним (1), 13:52 , 11-Янв-23, (1) –6 // Первый день в интернете Или гуманитарий Или млао витаминов ел Тебе бы порабо, Аноним (2), 13:55 , 11-Янв-23, (2) +10 // Гуманитарии это фронтенд-верстальщики, не осилившие бэкенд , Деанон (?), 14:16 , 11-Янв-23, (10) +4 // node js это бэкэнд JavaScript универсальный язык , Аноним (14), 14:32 , 11-Янв-23, (14) +1 так я и говорю, что не осилили и сделали nodeJS, Деанон (?), 15:44 , 11-Янв-23, (28) +2 Это же вебмакаки Там нельзя без обновлений и передёргиваний npm install и т п , Деанон (?), 14:15 , 11-Янв-23, (9) +2 Роботы грузят, Вы забыли заполнить поле Name (?), 15:52 , 11-Янв-23, (31) +1 Например если не заморачиваться, и не подымать локальный реп А просто при сборк, rshadow (ok), 17:10 , 11-Янв-23, (41) Эта либа качается каждый раз при открытии сайтов, которые юзают эту либу , . (?), 21:00 , 11-Янв-23, (55) И тут как вы уже догадались никакой бы безопасный язык не помог Зачем тогда лом, Аноним (2), 13:58 , 11-Янв-23, (4) –1 // ну вроде, чтобы в расте передать хренпоймичто, вместо чего-то другого все же над, амоним (?), 21:59 , 11-Янв-23, (58) Ничего интересного, расходимся , Аноним (5), 14:05 , 11-Янв-23, (5) –1 чушь какая-то, как этот объект сформировать-то удаленно https github com gith, Аноним (6), 14:06 , 11-Янв-23, (6) +5 Никогда такого не было и опять то же самое , Аноним (7), 14:10 , 11-Янв-23, (7) Если ты передаёшь с клиента объект и никак его не проверяешь, то это сама по себ, Весельчак У (?), 14:14 , 11-Янв-23, (8) +2 // Хуже когда ты тянешь с гитхаба npm импорт, а за ним еще 20 импортов, половину из, Деанон (?), 14:18 , 11-Янв-23, (11) +1 // Хуже когда он, не не глядя наваял за 5 минут А специально несколько часов сидел, Аноним (20), 15:07 , 11-Янв-23, (20) +2 // иногда даже много дней, амоним (?), 22:00 , 11-Янв-23, (59) Как раз-таки учитывается, именно поэтому и приводится явно к строке, потому как , Аноним (12), 14:27 , 11-Янв-23, (12) +1   // нету же статической типизации в jsхотя конечно я не знаю как нужно, как лучше js, Аноним (14), 14:42 , 11-Янв-23, (16) –1   secretOrPublicKey is a string utf-8 encoded , buffer, or KeyObject containing , Аноним (14), 14:47 , 11-Янв-23, (17) –1   Книжку какую-нибудь умную почитай 171 Не должна 187 , совсем вебмакаки облен, Аноним (20), 15:04 , 11-Янв-23, (18) –4   // Но как чистая архитектура относится к библиотеке для работы с тренерами Она же п, Аноним (14), 15:13 , 11-Янв-23, (23) +2   // С токенами, Аноним (14), 15:16 , 11-Янв-23, (25) +1   Ты эти свои книжки-то хоть сам открывал В особенности те места, где настоятельн, Аноним (12), 15:14 , 11-Янв-23, (24) +3   // Ну нодежс проверяет аргументы своего апи в рантайме, хотя тайпскрипт декларации , Вы забыли заполнить поле Name (?), 15:57 , 11-Янв-23, (32)   в документации явно указано что функция может Buffer принять И в определениях ty, Аноним (34), 16:06 , 11-Янв-23, (34)   Толку от тайпскриптовой 8220 типизации 8220 , если некорректные типы данных м, Бывалый смузихлёб (?), 17:33 , 11-Янв-23, (42)   В жабоскрипте сейчас реально можно в таком виде объекты передать и они разберутс, Омномним (?), 15:06 , 11-Янв-23, (19) –1 // Нет, нельзя Новость можно удалять, т к RCE собираются пометить как withdrawn , another_one (ok), 15:19 , 11-Янв-23, (26) // А, ну то есть ещё до такого не докатились, и то ладно , Омномним (?), 16:19 , 11-Янв-23, (36) Ну пойди, передай, через JSON notabug, wontfix , Аноним (21), 15:09 , 11-Янв-23, (21) +1 И откуда объект возьмется на бэкенде то JSON не передает функции Это не уязвим, another_one (ok), 15:13 , 11-Янв-23, (22) Эта новость - фейк По сети невозможно передать объект с методом Никакого RCE т, Аноним (27), 15:42 , 11-Янв-23, (27) +1 // CVE присвоен и исправление авторами пакета выпущено Какая же это шутка , Аноним (56), 21:02 , 11-Янв-23, (56) https nvd nist gov vuln detail CVE-2022-23529 Base Score 9 8 CRITICAL Уведо, Аноним (56), 21:09 , 11-Янв-23, (57) // Этот фейк уже вышел за пределы гитхаба Возможно, после такого скандала перестан, another_one (ok), 10:06 , 12-Янв-23, (61) Шаблон для новостей Джаваскрипта RCE-уязвимость в NPM-пакете ______, насчитывающ, Вы забыли заполнить поле Name (?), 16:03 , 11-Янв-23, (33) // Милый комментарий на фоне того, что очередная уязвимость оказалась фейком вслед, Аноним (37), 16:21 , 11-Янв-23, (37) +3 Шаблон комментария для опеннет эксперта Веб-макаки, растоманы, смузихлебы, формо, Аноним (34), 16:23 , 11-Янв-23, (38) +3 // Хотя бы эксперта, а не просто вебмакаки и непричастных к расту домоседов, называ, Деанон (?), 17:59 , 11-Янв-23, (44) –1 Так оно же истина Копипаст и в продакшен, node_modules из десятка тысяч файлов , Деанон (?), 18:03 , 11-Янв-23, (45) Для работы чата достаточно было 75КБ ELF-приложения на ARMv6 и GPRS 5КБ с, а не , Деанон (?), 18:09 , 11-Янв-23, (47) // 75кб Не дохрена ли это, это целый жаббер клиент со всеми колобками поместится , Аноним (49), 18:36 , 11-Янв-23, (49) Тогда напишите, в чем проблема Покажите веб-ма ам формош м, как надо под тел, Аноним (34), 19:54 , 11-Янв-23, (52) +1 Это просто лол Подобных использований toString можно найти миллиард в каждой в, Аноним (39), 16:30 , 11-Янв-23, (39) +2 // Из всех языков мира макак выбрал раст для примера Случайность Не думаю , Вы забыли заполнить поле Name (?), 18:09 , 11-Янв-23, (48) // Конечно, не случайность, я же на опеннете , Аноним (50), 18:43 , 11-Янв-23, (50) Вы только посмотрите, как они оформляют комиты https github com auth0 node-jso, ip1982 (ok), 16:40 , 11-Янв-23, (40) –3 // Ну это всё-таки мердж , Бывалый смузихлёб (?), 17:36 , 11-Янв-23, (43) Если речь про сообщение коммита, то он автоматически сформирован git ом Попробу, Вы забыли заполнить поле Name (?), 18:08 , 11-Янв-23, (46) // Да плевать как такое происходит Главное 8212 результат, а он ужасен П С И , ip1982 (ok), 19:19 , 11-Янв-23, (51) –1 git же название коммита спрашивает при merge И в интерфейсе gitlab можно вписат, Аноним (14), 20:32 , 11-Янв-23, (54) // При merge --squash он открывает редактор и сам подставляет в сообщение все комми, Вы забыли заполнить поле Name (?), 00:38 , 12-Янв-23, (60) 1,4,5,6,7,8,12,19,21,22,27,33,39,40

Сообщения

[Сортировка по времени | RSS]

12. "RCE-уязвимость в NPM-пакете JsonWebToken, насчитывающем 10 м..."	+1 +/–
Сообщение от Аноним (12), 11-Янв-23, 14:27
> в коде JsonWebToken это не учитывается и он всегда разбирается как строка с использованием метода toString() Как раз-таки учитывается, именно поэтому и приводится явно к строке, потому как и строка, и буфер имеют метод toString(). В оригинальной реализации все сделано верно, это клиент библиотеки должен подсовывать ему аргумент правильного типа. И нет, библиотека не должна делать instanceof Buffer, поскольку: 1) программировать следует на уровне интерфейса, а не на уровне реализации, 2) instanceof Buffer не защитит от кастомных методов toString (Object.assign(new Buffer(), { toString: () => 'PWNED' })) Вердикт: новость насквозь желтая.
Ответить | Правка | Наверх | Cообщить модератору

	16. "RCE-уязвимость в NPM-пакете JsonWebToken, насчитывающем 10 м..."	–1 +/–
	Сообщение от Аноним (14), 11-Янв-23, 14:42
	>1) программировать следует на уровне интерфейса, а не на уровне реализации, нету же статической типизации в js хотя конечно я не знаю как нужно, как лучше js библиотеки проектировать "Warning: When the token comes from an untrusted source (e.g. user input or external requests), the returned decoded payload should be treated like any other user input; please make sure to sanitize and only work with properties that are expected token is the JsonWebToken string "
	Ответить | Правка | Наверх | Cообщить модератору

	17. "RCE-уязвимость в NPM-пакете JsonWebToken, насчитывающем 10 м..."	–1 +/–
	Сообщение от Аноним (14), 11-Янв-23, 14:47
	"secretOrPublicKey is a string (utf-8 encoded), buffer, or KeyObject containing either the secret for HMAC algorithms, or the PEM encoded public key for RSA and ECDSA." у них в документации указано что может быть не только строка.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	18. "RCE-уязвимость в NPM-пакете JsonWebToken, насчитывающем 10 м..."	–4 +/–
	Сообщение от Аноним (20), 11-Янв-23, 15:04
	Книжку какую-нибудь умную почитай. «Не должна», совсем вебмакаки обленились. Начини с Роберта Мартина «Чистая Архитектура» заодно «Чистый код» и больше чушь не пиши. Никто у них ничего не должен, капец.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	23. "RCE-уязвимость в NPM-пакете JsonWebToken, насчитывающем 10 м..."	+2 +/–
	Сообщение от Аноним (14), 11-Янв-23, 15:13
	Но как чистая архитектура относится к библиотеке для работы с тренерами? Она же про разделение приложения на слои и просторение приложения независимым от фреймворков. Вы точно эту умную книгу читали или только название?
	Ответить | Правка | Наверх | Cообщить модератору

	25. "RCE-уязвимость в NPM-пакете JsonWebToken, насчитывающем 10 м..."	+1 +/–
	Сообщение от Аноним (14), 11-Янв-23, 15:16
	С токенами
	Ответить | Правка | Наверх | Cообщить модератору

	24. "RCE-уязвимость в NPM-пакете JsonWebToken, насчитывающем 10 м..."	+3 +/–
	Сообщение от Аноним (12), 11-Янв-23, 15:14
	Ты эти свои книжки-то хоть сам открывал? В особенности те места, где настоятельно рекомендуется зависеть не от реализации, а от интерфейсов? Для проверки типов аргументов уже есть тайпскрипт, причем для сабжа тайпскриптовые определения имеются. Или ты предлагаешь их еще вдобавок проверять в рантайме?
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	32. "RCE-уязвимость в NPM-пакете JsonWebToken, насчитывающем 10 м..."	+/–
	Сообщение от Вы забыли заполнить поле Name (?), 11-Янв-23, 15:57
	Ну нодежс проверяет аргументы своего апи в рантайме, хотя тайпскрипт декларации тоже есть.
	Ответить | Правка | Наверх | Cообщить модератору

	34. "RCE-уязвимость в NPM-пакете JsonWebToken, насчитывающем 10 м..."	+/–
	Сообщение от Аноним (34), 11-Янв-23, 16:06
	в документации явно указано что функция может Buffer принять. И в определениях typescript скорее всего
	Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

	42. "RCE-уязвимость в NPM-пакете JsonWebToken, насчитывающем 10 м..."	+/–
	Сообщение от Бывалый смузихлёб (?), 11-Янв-23, 17:33
	Толку от тайпскриптовой “типизации“, если некорректные типы данных могут передаваться в рантайме ?
	Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема