forum.opennet.ru

"Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн загрузок в неделю"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

"Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн загрузок в неделю"	+/–
Сообщение от opennews (??), 02-Сен-21, 22:52
В NPM-пакете pac-resolver, насчитывающем более 3 млн загрузок в неделю, выявлена уязвимость (CVE-2021-23406), которая позволяет добиться выполнения своего JavaScript-кода в контексте приложения при отправке HTTP-запросов из Node.js-проектов, поддерживающих функцию автонастройки прокси-сервера... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55728
Ответить \| Правка \| Cообщить модератору

Оглавление

Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн загрузок в неделю, opennews, 02-Сен-21, 22:52 [смотреть все]

По предварительным расчётам, за полгода уязвимость охватывает всё население Мидг, InuYasha, 02-Сен-21, 22:52 (1)
Надоже, даже без работы с памятью Кто бы сомневался Толи ещё Rust ожидает , Аноним, 02-Сен-21, 22:53 (2) //
- Зато с eval ом , Ordu, 03-Сен-21, 00:26 (7)
- Просто был бы дырявый софт на Rust Те же яйца только в профиль и большим количе, Аноним, 03-Сен-21, 11:57 (34)
Эта проблема решается выкидыванием всех этих NPM и им подобных каргоф ДНК конеч, Аноним, 02-Сен-21, 22:55 (3) //
- Я правильно тебя понял, ты предлагаешь писать код без библиотек вообще Или у те, Аноним, 02-Сен-21, 23:03 (4) //
  - Сейчас библиотеки такие, что сложность написания кода без них гораздо ниже, чем , Аноним, 02-Сен-21, 23:30 (5) //
    - Сразу видно, что ничего сложнее hello world в жизни не писал , Аноним, 03-Сен-21, 01:12 (10)
      - Хм, hello, world без библиотеки ввода-вывода ну это только на Assembler-е И, Ag, 03-Сен-21, 07:50 (15)
        
        В современных, многозадачных, операционных системах, Вам не дадут из защищенного, andy, 03-Сен-21, 11:57 (35)
    - И ты гарантируешь отсутсвие уязвимостей в этом своем коде без библиотек , Аноним, 03-Сен-21, 08:02 (17)
      - Не в ту сторону воюетеПротив библиотек никто не выступалИ есть разница между уни, Аноним, 04-Сен-21, 18:08 (49)
  - Авторы изделий на JS и для JS, к сожалению, биологически повреждены и любой резу, And, 03-Сен-21, 08:25 (21) //
    - В изначальном сообщении написано следующееПод подобные карги попадают так же в, Аноним, 03-Сен-21, 10:32 (33)
- Жаль что тебя не изолировали, Аноним, 03-Сен-21, 08:06 (19)
- Ага-ага Ты и сам не юзаешь сторонние библиотеки или только советуешь , Ненавижу SJW, 03-Сен-21, 09:13 (26) //
  - Там было хоть слово против библиотек , Аноним, 04-Сен-21, 18:09 (50)
Всегда такое было, и вот опять , бедный буратино, 03-Сен-21, 00:18 (6)
Вау В eval-языке нашли уязвимость - он может исполнить код, пришедший как дан, Dzen Python, 03-Сен-21, 00:36 (8) //
- Кому-то показалось хорошей идеей автоматически выполнять код пришедший как данны, Аноньимъ, 03-Сен-21, 01:13 (11) //
  - Их сейчас с js на rust переучивают ускоренно, чтоб в ядро коммитили, Аноним, 04-Сен-21, 18:11 (51)
Я правильно понимаю, что проблему устранили указанием в документации что API теп, Аноньимъ, 03-Сен-21, 01:12 (9) //
- обычная настройка wpad происходит Стандарт netscape 1996го года Платформенно н, пох., 03-Сен-21, 10:12 (32) //
  - Сжечь Там есть какое-то оправдание хотя бы для того чтобы вместо настроек прокси, Аноньимъ, 03-Сен-21, 18:03 (40) //
    - Ты тоже разработчик, что-ли Пойти и прочитать документацию - не Код возвращает , пох., 03-Сен-21, 19:12 (42)
      - А как это делает этот скрипт Просто списка с фильтром по регуляркам недостаточно, Аноньимъ, 03-Сен-21, 19:31 (44)
- В документации было и осталось предупреждение, что не через vm нельзя запускать , another_one, 04-Сен-21, 09:45 (48)
Ура 3 миллиона уязвимостей по всему миру , Аноним, 03-Сен-21, 05:11 (14)
Да не может такого быть , Какаянахренразница, 03-Сен-21, 07:54 (16)
Красивая халтура Такое не публикуют, или код плохой Это тот признак, по котор, And, 03-Сен-21, 08:04 (18)
Неужели Node js всё еще кто-то использует , Аноним, 03-Сен-21, 08:25 (20) //
- Технологии на базе Жабасрипта рулят , Аноним, 03-Сен-21, 08:34 (22)
- Да, ёжики , Аноним, 03-Сен-21, 08:34 (23)
- Дурак Это я вас пользую , Node js, 03-Сен-21, 10:00 (30)
Зачем 3 млн юзеров в неделю парсят PAC файлы , Аноним, 03-Сен-21, 08:57 (24) //
- Это автоматические загрузки по дереву нпм-зависимостей Юзеры даже не в курсе , Аноним, 03-Сен-21, 09:04 (25) //
  - Воистину по дереву , anonymous, 03-Сен-21, 09:40 (29)
- leftpad такой leftpad, 1, 03-Сен-21, 09:37 (28)
- а кто их спрашивал-то , Node js, 03-Сен-21, 10:02 (31) //
  - Подробности интересны Какие конкретно либы и для чего , Аноньимъ, 03-Сен-21, 15:02 (39)
Можно подумать в этом вашем Пэйтоунэ не так же , Аноним, 03-Сен-21, 11:58 (36) //
- Слабенькая отмазка , Какаянахренразница, 03-Сен-21, 12:07 (37)
Это по определению программа из одной строки на Perl , то есть JavaScript Ровн, Алексей, 03-Сен-21, 14:16 (38) //
- Не понял, но осуждаю Браузер как и пользователь вообще не причемВыполняет nodejs, Аноним, 04-Сен-21, 18:20 (52)
Нужен meta npm с рейтингом модулей За уязвимости рейтинг само собой снижать , Аноним, 03-Сен-21, 18:21 (41) //
- повышать же ж Кто не сидел тот не паца ой, простите, окошком ошибся В ком не, пох., 03-Сен-21, 19:14 (43)
кто сказал, что это уязвимость , Аноним, 03-Сен-21, 19:49 (45)
Любителей тянуть в рот всё свеженькое из непонятных источников опять поимели Вп, Онаним, 03-Сен-21, 23:41 (47)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру