Уязвимость в NPM-пакете node-netmask, применяемом в 270 тысячах проектах,
opennews (ok), 29-Мрт-21, (0) [смотреть все]
- никогда не было и вот опять ,
Леголас (ok), 11:22 , 29-Мрт-21, (1) +12 //
- вот это не понял 0177 0 0 1 , которое соответствует 127 0 0 1 поясните пожалу,
имятакое (?), 11:23 , 29-Мрт-21, (2) –1 //
- Восьмеричная запись начинается с нуля,
Ононимус (?), 11:27 , 29-Мрт-21, (3) +2
- 0177 - восьмиричная система счисленияпереводим в 10-ю и получаем 127,
Аноним (4), 11:28 , 29-Мрт-21, (4)
- 0 в начале числа по традиции у программистов означает 8-ричную систему счисления,
A.Stahl (ok), 11:30 , 29-Мрт-21, (5) //
- ping 0177 0 0 1PING 0177 0 0 1 127 0 0 1 56 84 bytes of data 64 bytes from ,
Аноним (6), 11:33 , 29-Мрт-21, (6) –1 //
- - поясните пожалуйста, почему это равно этому- да, смотри, это равно этому,
Леголас (ok), 11:39 , 29-Мрт-21, (7) +8 //
- Для полноты картины нужно попинговать 0x7F 0 0 1 , 0x7f 1 , 0x7F000001 , 0177000,
userd (ok), 12:19 , 29-Мрт-21, (23) +8 //
- oct - dec,
anonymous (??), 12:15 , 29-Мрт-21, (21) //
- Было большой ошибкой додуматься до включение восьмеричных чисел в спецификации I,
Аноним (8), 11:39 , 29-Мрт-21, (8) –5 //
- Авторы спеков так видят , пойми Скажи спасибо еще римские цифры не добавили ,
Аноним (9), 11:42 , 29-Мрт-21, (9) –2
- Для своих целей восьмиричные числа весьма наглядные ,
gogo (?), 14:50 , 29-Мрт-21, (57) +2
- Обезьянки взяли спеки, и написали по спекам , как привыкли В реальном мире всё ,
Аноним (66), 16:36 , 29-Мрт-21, (66)
- Ваша способность выявлять ошибки вызывает сомнения,
Аноним (76), 17:26 , 29-Мрт-21, (76)
- В ipv6 такая же ситуация ,
Аноним (15), 11:58 , 29-Мрт-21, (14) //
- Зевнул Уже даже не смешно Норма для ноды, руби и прочих растов с композерами ,
Аноним (66), 12:01 , 29-Мрт-21, (16) //
- Дело не в ноде, а коде inet_aton на C который изначально нарушал стандарт ,
Аноним (15), 12:12 , 29-Мрт-21, (20) //
- Именно - дело в коде ,
Аноним (25), 12:29 , 29-Мрт-21, (25) +2
- а можно детальнее - какой именно стандарт и в чем ,
Урри (ok), 13:04 , 29-Мрт-21, (30) +1 //
- Ну вот ссылка в статье есть на спецификациюhttps tools ietf org html draft-mai,
Аноним (15), 13:14 , 29-Мрт-21, (31)
- de facto standardЭто и не стандарт вовсе, а так принято А стандарт допускает и,
1 (??), 13:47 , 29-Мрт-21, (42)
- Какие еще стандарты, там галимотья на кофескрипте конвертящая тупостроки Афтор ,
Аноним (45), 13:58 , 29-Мрт-21, (45)
- Не вижу нарушения Может подскажете где именно ,
Урри (ok), 17:13 , 29-Мрт-21, (74)
- Дело снова в отсутствии полноценной валидации входных данных То есть в кривых ру,
Онаним (?), 14:23 , 29-Мрт-21, (52) +4
- На Руби не гони, э https ideone com H0ewsRТут вам не питонжсы ,
Аноним (105), 22:13 , 02-Апр-21, (105)
- Магия и остроумие костыликов сделать просто - договориться о волшебном значении,
Анонимно Аффтор (?), 12:03 , 29-Мрт-21, (17) +2 //
- Вот они удивятся когда узнают что можно не только восьмеричные писать, но и 16-р,
Аноним (15), 12:07 , 29-Мрт-21, (18) +8 //
- Я пробежал указанный документ Из него следует что это не особо и то и вина разр,
Аноним (15), 12:11 , 29-Мрт-21, (19)
- Забавно смотреть как поступи ничего из себя не представляющие обитатели местного,
Посылатель нахер (?), 12:46 , 29-Мрт-21, (26) +1 //
- Не только эти два указанных реальных IP могут обойти проверку Получается, любые,
mymedia (ok), 13:03 , 29-Мрт-21, (28) –1 //
- А если ещё с шестнадцатеричными поиграться ,
Аноним (32), 13:16 , 29-Мрт-21, (32)
- В новом коде насчёт 16-ричных систем тоже баг https github com rs node-netmask,
Аноним (15), 13:17 , 29-Мрт-21, (33) //
- Других программистов на ноде у нас нет ,
Аноним (36), 13:29 , 29-Мрт-21, (36) +1 //
- это проблема не в node, а вообще во всех языках проверка if IP 127 0 0 1 ,
onanim (?), 13:35 , 29-Мрт-21, (38) +1 //
- Скажу крамольную, на данном сайте вещь Но даже сам великий и ужасный Раст не по,
Аноним (41), 13:44 , 29-Мрт-21, (40) +3 //
- Писатели на расте никогда бы не написали код, который строится на допущении, что,
Аноним (36), 13:50 , 29-Мрт-21, (43) –3 //
- Стандарт допускает восьмеричные числа в айпи-адресе ,
Аноним (68), 16:47 , 29-Мрт-21, (68) +1
- println , 0177 0 0 1 parse Ipv4Addr Ok 177 0 0 1 ,
Аноним (77), 18:34 , 29-Мрт-21, (77) +2
- 0177 0 0 1 даже стандартная регулирочка из всех книжек по программированию не пр,
Аноним (92), 20:02 , 29-Мрт-21, (86)
- не вижу в этом уязвимости Просто нормальное поведение преобразования адреса А кт,
1 (??), 13:51 , 29-Мрт-21, (44) +1
- От кривых рук спасает только ампутация Да и вообще, с чего вы взяли, что Rust ч,
Анонимъ (?), 15:09 , 29-Мрт-21, (59) //
- Точно У rust есть поддержка up адресов в стандартной библиотеке Вроде бы У ja,
Аноним (92), 19:54 , 29-Мрт-21, (84) //
- В защиту JS могу сказать, что багованный код написан был НЕ на JavaScript ,
Аноним (15), 14:01 , 29-Мрт-21, (48) +1
- Уязвимость NPM-пакет Предлагаю всем заучить эту формулу ,
Аноним (55), 14:32 , 29-Мрт-21, (55) +3
- Если бы это была уязвимость, то обновление вышло бы как 1 0 7 А это явно фича, и,
Аноним (56), 14:50 , 29-Мрт-21, (56) +1 //
- С годоми уровень программеров очень упал ,
Аноним (67), 16:36 , 29-Мрт-21, (67) +1 //
- ребят, а как же говорили что Линукс, ГНУ, Опенсурс - это надежно, нет бакдоров, ,
Аноним (78), 19:00 , 29-Мрт-21, (78) //
- Кучу валидаторов писала и не знала об этом ,
Аноним (92), 19:21 , 29-Мрт-21, (79) //
- Это даже уязвимостью назвать нельзя Библиотека явно предполагает на входе IP-адр,
Аноним (82), 19:30 , 29-Мрт-21, (82) +1 //
- Что-то мне никак не хватает воображения представить эксплоит Типовая задача при,
PnD (??), 11:43 , 30-Мрт-21, (95) +1
- где-то в глубине используемых шелловых сценариев для таких случаев применяется s,
Чолхан (ok), 13:49 , 30-Мрт-21, (97)
- А, напомните, почему атакующий не может просто запросить ресурс, указав значение,
Chupaka (ok), 11:25 , 31-Мрт-21, (104) +1
- 171 в 270 тысячах проектОВ 187 ,
Аноним (106), 21:29 , 03-Апр-21, (106)
1,2,8,14,16,17,18,19,26,28,32,33,36,38,40,48,55,56,67,78,79,82,95,97,104,106
|