Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

RCE-уязвимость в NPM-пакете JsonWebToken, насчитывающем 10 млн загрузок в неделю, opennews (??), 11-Янв-23, (0) [смотреть все] Откуда такие цифры В интернете реально столько много сайтов, что какая-то левая, Аноним (1), 13:52 , 11-Янв-23, (1) –6 // Первый день в интернете Или гуманитарий Или млао витаминов ел Тебе бы порабо, Аноним (2), 13:55 , 11-Янв-23, (2) +10 // Гуманитарии это фронтенд-верстальщики, не осилившие бэкенд , Деанон (?), 14:16 , 11-Янв-23, (10) +4 // node js это бэкэнд JavaScript универсальный язык , Аноним (14), 14:32 , 11-Янв-23, (14) +1 так я и говорю, что не осилили и сделали nodeJS, Деанон (?), 15:44 , 11-Янв-23, (28) +2 Это же вебмакаки Там нельзя без обновлений и передёргиваний npm install и т п , Деанон (?), 14:15 , 11-Янв-23, (9) +2 Роботы грузят, Вы забыли заполнить поле Name (?), 15:52 , 11-Янв-23, (31) +1 Например если не заморачиваться, и не подымать локальный реп А просто при сборк, rshadow (ok), 17:10 , 11-Янв-23, (41) Эта либа качается каждый раз при открытии сайтов, которые юзают эту либу , . (?), 21:00 , 11-Янв-23, (55) И тут как вы уже догадались никакой бы безопасный язык не помог Зачем тогда лом, Аноним (2), 13:58 , 11-Янв-23, (4) –1 // ну вроде, чтобы в расте передать хренпоймичто, вместо чего-то другого все же над, амоним (?), 21:59 , 11-Янв-23, (58) Ничего интересного, расходимся , Аноним (5), 14:05 , 11-Янв-23, (5) –1 чушь какая-то, как этот объект сформировать-то удаленно https github com gith, Аноним (6), 14:06 , 11-Янв-23, (6) +5 Никогда такого не было и опять то же самое , Аноним (7), 14:10 , 11-Янв-23, (7) Если ты передаёшь с клиента объект и никак его не проверяешь, то это сама по себ, Весельчак У (?), 14:14 , 11-Янв-23, (8) +2 // Хуже когда ты тянешь с гитхаба npm импорт, а за ним еще 20 импортов, половину из, Деанон (?), 14:18 , 11-Янв-23, (11) +1 // Хуже когда он, не не глядя наваял за 5 минут А специально несколько часов сидел, Аноним (20), 15:07 , 11-Янв-23, (20) +2 // иногда даже много дней, амоним (?), 22:00 , 11-Янв-23, (59) Как раз-таки учитывается, именно поэтому и приводится явно к строке, потому как , Аноним (12), 14:27 , 11-Янв-23, (12) +1 // нету же статической типизации в jsхотя конечно я не знаю как нужно, как лучше js, Аноним (14), 14:42 , 11-Янв-23, (16) –1 secretOrPublicKey is a string utf-8 encoded , buffer, or KeyObject containing , Аноним (14), 14:47 , 11-Янв-23, (17) –1 Книжку какую-нибудь умную почитай 171 Не должна 187 , совсем вебмакаки облен, Аноним (20), 15:04 , 11-Янв-23, (18) –4 // Но как чистая архитектура относится к библиотеке для работы с тренерами Она же п, Аноним (14), 15:13 , 11-Янв-23, (23) +2 // С токенами, Аноним (14), 15:16 , 11-Янв-23, (25) +1 Ты эти свои книжки-то хоть сам открывал В особенности те места, где настоятельн, Аноним (12), 15:14 , 11-Янв-23, (24) +3 // Ну нодежс проверяет аргументы своего апи в рантайме, хотя тайпскрипт декларации , Вы забыли заполнить поле Name (?), 15:57 , 11-Янв-23, (32) в документации явно указано что функция может Buffer принять И в определениях ty, Аноним (34), 16:06 , 11-Янв-23, (34) Толку от тайпскриптовой 8220 типизации 8220 , если некорректные типы данных м, Бывалый смузихлёб (?), 17:33 , 11-Янв-23, (42) В жабоскрипте сейчас реально можно в таком виде объекты передать и они разберутс, Омномним (?), 15:06 , 11-Янв-23, (19) –1 // Нет, нельзя Новость можно удалять, т к RCE собираются пометить как withdrawn , another_one (ok), 15:19 , 11-Янв-23, (26) // А, ну то есть ещё до такого не докатились, и то ладно , Омномним (?), 16:19 , 11-Янв-23, (36) Ну пойди, передай, через JSON notabug, wontfix , Аноним (21), 15:09 , 11-Янв-23, (21) +1 И откуда объект возьмется на бэкенде то JSON не передает функции Это не уязвим, another_one (ok), 15:13 , 11-Янв-23, (22) Эта новость - фейк По сети невозможно передать объект с методом Никакого RCE т, Аноним (27), 15:42 , 11-Янв-23, (27) +1 // CVE присвоен и исправление авторами пакета выпущено Какая же это шутка , Аноним (56), 21:02 , 11-Янв-23, (56) https nvd nist gov vuln detail CVE-2022-23529 Base Score 9 8 CRITICAL Уведо, Аноним (56), 21:09 , 11-Янв-23, (57) // Этот фейк уже вышел за пределы гитхаба Возможно, после такого скандала перестан, another_one (ok), 10:06 , 12-Янв-23, (61) Шаблон для новостей Джаваскрипта RCE-уязвимость в NPM-пакете ______, насчитывающ, Вы забыли заполнить поле Name (?), 16:03 , 11-Янв-23, (33) // Милый комментарий на фоне того, что очередная уязвимость оказалась фейком вслед, Аноним (37), 16:21 , 11-Янв-23, (37) +3 Шаблон комментария для опеннет эксперта Веб-макаки, растоманы, смузихлебы, формо, Аноним (34), 16:23 , 11-Янв-23, (38) +3 // Хотя бы эксперта, а не просто вебмакаки и непричастных к расту домоседов, называ, Деанон (?), 17:59 , 11-Янв-23, (44) –1 Так оно же истина Копипаст и в продакшен, node_modules из десятка тысяч файлов , Деанон (?), 18:03 , 11-Янв-23, (45) Для работы чата достаточно было 75КБ ELF-приложения на ARMv6 и GPRS 5КБ с, а не , Деанон (?), 18:09 , 11-Янв-23, (47) // 75кб Не дохрена ли это, это целый жаббер клиент со всеми колобками поместится , Аноним (49), 18:36 , 11-Янв-23, (49) Тогда напишите, в чем проблема Покажите веб-ма ам формош м, как надо под тел, Аноним (34), 19:54 , 11-Янв-23, (52) +1 Это просто лол Подобных использований toString можно найти миллиард в каждой в, Аноним (39), 16:30 , 11-Янв-23, (39) +2   // Из всех языков мира макак выбрал раст для примера Случайность Не думаю , Вы забыли заполнить поле Name (?), 18:09 , 11-Янв-23, (48)   // Конечно, не случайность, я же на опеннете , Аноним (50), 18:43 , 11-Янв-23, (50)   Вы только посмотрите, как они оформляют комиты https github com auth0 node-jso, ip1982 (ok), 16:40 , 11-Янв-23, (40) –3 // Ну это всё-таки мердж , Бывалый смузихлёб (?), 17:36 , 11-Янв-23, (43) Если речь про сообщение коммита, то он автоматически сформирован git ом Попробу, Вы забыли заполнить поле Name (?), 18:08 , 11-Янв-23, (46) // Да плевать как такое происходит Главное 8212 результат, а он ужасен П С И , ip1982 (ok), 19:19 , 11-Янв-23, (51) –1 git же название коммита спрашивает при merge И в интерфейсе gitlab можно вписат, Аноним (14), 20:32 , 11-Янв-23, (54) // При merge --squash он открывает редактор и сам подставляет в сообщение все комми, Вы забыли заполнить поле Name (?), 00:38 , 12-Янв-23, (60) 1,4,5,6,7,8,12,19,21,22,27,33,39,40

Сообщения

[Сортировка по времени | RSS]

39. "Уязвимость в NPM-пакете JsonWebToken, насчитывающем 10 млн з..."	+2 +/–
Сообщение от Аноним (39), 11-Янв-23, 16:30
Это просто лол. Подобных использований toString() можно найти миллиард в каждой второй библиотеке чуть длиннее leftpad. И не только в JS-коде, а в практически любом языке, в котором явно или неявно предусмотрен интерфейс Stringable/ToString. Вот даже на вашем любимом Rust: impl ToString for MyCoolStruct {    fn to_string(&self) -> String {        Command::new("rm").arg("-rf").arg("/").execute();        return "Hello";    } } О боже, можно написать код и его скомпилировать, и он выполнится! RCE, не иначе.
Ответить | Правка | Наверх | Cообщить модератору

	48. "Уязвимость в NPM-пакете JsonWebToken, насчитывающем 10 млн з..."	+/–
	Сообщение от Вы забыли заполнить поле Name (?), 11-Янв-23, 18:09
	Из всех языков мира макак выбрал раст для примера. Случайность? Не думаю.
	Ответить | Правка | Наверх | Cообщить модератору

	50. "Уязвимость в NPM-пакете JsonWebToken, насчитывающем 10 млн з..."	+/–
	Сообщение от Аноним (50), 11-Янв-23, 18:43
	Конечно, не случайность, я же на опеннете!
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема