URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 124930
[ Назад ]
Исходное сообщение
"Уязвимость в http2-модуле из состава Node.js [BR]"
Отправлено opennews , 31-Июл-21 09:10
Разработчики серверной JavaScript-платформы Node.js опубликовали корректирующие выпуски 12.22.4, 14.17.4 и 16.6.0, в которых частично устранена уязвимость (CVE-2021-22930) в модуле http2 (клиент HTTP/2.0), позволяющая инициировать крах процесса или потенциально организовать выполнение своего кода в системе при обращении к подконтрольному злоумышленнику хосту...Подробнее: https://www.opennet.me/opennews/art.shtml?num=55568
Содержание
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 09:38 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 09:54 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,Онаним, 10:47 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,НяшМяш, 15:12 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 10:47 , 03-Авг-21
- Уязвимость в http2-модуле из состава Node.js ,НяшМяш, 22:20 , 04-Авг-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 10:48 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,Самый Лучший Гусь, 11:03 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 15:40 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,ъ, 16:18 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 23:55 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,Отражение луны, 13:18 , 01-Авг-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 20:05 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 00:59 , 01-Авг-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 07:10 , 01-Авг-21
- Уязвимость в http2-модуле из состава Node.js ,w3c всё, 00:49 , 01-Авг-21
- Уязвимость в http2-модуле из состава Node.js ,Нанобот, 09:40 , 01-Авг-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 09:48 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,нах.., 10:59 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 11:43 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,kissmyass, 12:03 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 12:10 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,kissmyass, 13:57 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,w3c всё, 00:52 , 01-Авг-21
- Уязвимость в http2-модуле из состава Node.js ,Отражение луны, 13:21 , 01-Авг-21
- Уязвимость в http2-модуле из состава Node.js ,kissmyass, 14:36 , 01-Авг-21
- Уязвимость в http2-модуле из состава Node.js ,Отражение луны, 18:49 , 01-Авг-21
- Уязвимость в http2-модуле из состава Node.js ,kissmyass, 05:58 , 02-Авг-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 09:46 , 02-Авг-21
- Уязвимость в http2-модуле из состава Node.js ,Отражение луны, 10:48 , 04-Авг-21
- Уязвимость в http2-модуле из состава Node.js ,1, 10:09 , 02-Авг-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 06:55 , 05-Авг-21
- Уязвимость в http2-модуле из состава Node.js ,макпыф, 15:07 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 01:03 , 01-Авг-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 16:48 , 02-Авг-21
- Уязвимость в http2-модуле из состава Node.js ,ХрюХрю, 15:28 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,Аноноша, 18:33 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,Онаним, 10:47 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 11:23 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 12:16 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 12:28 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 18:57 , 03-Авг-21
- Уязвимость в http2-модуле из состава Node.js ,another_one, 15:44 , 07-Авг-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 12:28 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 12:36 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,десу всё, 00:55 , 01-Авг-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 16:42 , 02-Авг-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 14:26 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,НяшМяш, 15:11 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 19:24 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 21:20 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 23:57 , 31-Июл-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 01:05 , 01-Авг-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 18:02 , 03-Авг-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 16:52 , 02-Авг-21
- Уязвимость в http2-модуле из состава Node.js ,Аноним, 15:54 , 03-Авг-21
- Уязвимость в http2-модуле из состава Node.js ,another_one, 15:46 , 07-Авг-21
Сообщения в этом обсуждении
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 09:38
Ага, круто. Исправили, но не до конца, и заодно всем об этом сказали. Кто-то еще держит у себя нодежс?
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 09:54
Умные люди перед node ставят nginx (с включенным http2) и проксируют в node простым http.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Онаним , 31-Июл-21 10:47
Чего проксируют-то? Речь о клиентской либе.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено НяшМяш , 31-Июл-21 15:12
В ноде в http и http2 находятся как клиент, так и сервер.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 03-Авг-21 10:47
Уязвимость то в клиенте.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено НяшМяш , 04-Авг-21 22:20
Имеется ввиду, что в ноде библиотеки не разделены на серверную и клиентскую часть. И очень часто уязвимость касается и того, и другого из-за общей кодовой базы.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 10:48
Умные люди на nodejs не пишут.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Самый Лучший Гусь , 31-Июл-21 11:03
Умные люди вообще не пишут и не говорят
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 15:40
Если ребёнок с психическим расстроиством не смог заговорить в восемь лет. Не беда. Аноним с опеннета сказал что пацан гений.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено ъ , 31-Июл-21 16:18
т.у. ты не умён.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 23:55
На чем же они пишут?
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Отражение луны , 01-Авг-21 13:18
Да, пхп наше все (нет)
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 20:05
Вообще проблема видимо незамеченной осталась. В браузерах нодажс используется. Если бы вы собирали их из исходников знали бы что без ноды собрать это надо постараться. А потом включаем мозг и догоняем что это уязвимость и браузеров. Клиент и сервер в одной пачке.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 01-Авг-21 00:59
В Chromium-браузерах используется Javascript-движок V8, тот же, который в NodeJS. Но тут обратный путь - в NodeJS движок взят из Хромиума.А что нужно для сборки - это вообще смешной аргумент. Для сборки нужен компилятор C++, это не означает, что компилятор C++ будет в составе браузера.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 01-Авг-21 07:10
В мире существуют не только хромовые браузеры. Но да, хорошо если эта подозрительная дыра не затронула браузеры по полной программе. И для Firefox нужен Rust для сборки. Что в Gentoo приблизительно уравнивает первую сборку браузеров по скорости, но потом более легкий Firefox собирается быстрее, потому что Rust обновляют относительно редко.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено w3c всё , 01-Авг-21 00:49
умные люди юзают http1.1 + websocket + ssh
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Нанобот , 01-Авг-21 09:40
> клиент HTTP/2.0
> Умные люди перед node ставят nginx 😂 И как, помогает?
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 09:48
А эксплойт то в части на плюсах. Это так мило.
https://github.com/nodejs/node/commit/e47d2d25775336ded70fcf...
"Уязвимость в http2-модуле из состава Node.js "
Отправлено нах.. , 31-Июл-21 10:59
И не говори, нодовцы не умеют ни явя ни в плюсы.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 11:43
у меня наоборот, могу в ява и плюсы, а жс тяжко даётся.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено kissmyass , 31-Июл-21 12:03
потому что, чтобы любить JS надо быть дегенератомя его тоже ненавижу, но использую - выбора нет
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 12:10
Ждем распространения wasm чтобы фронт можно было писать на человеческих языках
"Уязвимость в http2-модуле из состава Node.js "
Отправлено kissmyass , 31-Июл-21 13:57
> Ждем распространения wasm чтобы фронт можно было писать на человеческих языках ну хз я и так юзаю Bridge.NET, но его прикрыли из-за не сильно большой популярности
но уже есть форк H5 называется, можно писать на C#
минус только что WASM (Blazor), что бридж - это размер файлов рантайма лишний мегабайт или даже два
"Уязвимость в http2-модуле из состава Node.js "
Отправлено w3c всё , 01-Авг-21 00:52
сиси-плюсплюс - с емскриптером, go со своим встроенным компилятором - аж бегом
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Отражение луны , 01-Авг-21 13:21
Чтобы js любить нужно его понимать. Т.е. он не для джунов и не для опеннетовцев
"Уязвимость в http2-модуле из состава Node.js "
Отправлено kissmyass , 01-Авг-21 14:36
> Чтобы js любить нужно его понимать. Т.е. он не для джунов и
> не для опеннетовцев а что там непонятного, на заре интернета придумали якобы простой и полностью упоротый язык в меру своих знаний, за 20 лет накачали это УГ стероидами
от того что ты понимаешь парадигму JS она не становится конфеткой
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Отражение луны , 01-Авг-21 18:49
Парадигма js с тех пор cильно сместилась.
В общем-то оснвным преимуществом js является асинхронность, отлично поддеживаемая на уровне самого языка. Я в общем-то готов писать на любом языке, имеющем event loop под копотом, потому что это эффективно с точки зрения потребляемых ресурсов. Но вот беда - ни питон, ни джава в полноценную асинхронность так и не смогли. Про .net не скажу, не юзал.
Понимание js в общем-то сейчас и сводится к пониманию ивент лупа, замыканий, и тому, как не засрать память. Разобраться с этим не сложно, но многие вещи так же не лежат на поверхности.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено kissmyass , 02-Авг-21 05:58
> Парадигма js с тех пор cильно сместилась.
> В общем-то оснвным преимуществом js является асинхронность, отлично поддеживаемая на уровне
> самого языка. Я в общем-то готов писать на любом языке, имеющем
> event loop под копотом, потому что это эффективно с точки зрения
> потребляемых ресурсов. Но вот беда - ни питон, ни джава в
> полноценную асинхронность так и не смогли. Про .net не скажу, не
> юзал.
> Понимание js в общем-то сейчас и сводится к пониманию ивент лупа, замыканий,
> и тому, как не засрать память. Разобраться с этим не сложно,
> но многие вещи так же не лежат на поверхности.отлично поддерживаемый колбек хелом? в дотнете async появился лет на 5 раньше
в джава все сложнее там миллион разных велосипедов: https://www.baeldung.com/java-asynchronous-programming
в дотнет кстати помимо тасков тоже дохера вских пулов, и Parallel'ов, юзай что хочешь
да все эти евент лупы и замыкания нафиг не вперлись, когда тебе нужен предсказумый и легко читаемый код, кому он нахрен нужен ООП на прототипах, динамическая типизация и прочий цирк
если JS такой великолепный (нет), то накой они придумало полу-костыль в виде TS?
накой нам очердной супер UI фреймворк, который вот сейчас точно решит все проблемы (нет)
в общем пчелы не доказывают мухам, что мед лучше чем говно, и я не буду )))
другое дело что не обмазаться не получится, если делаешь клиентскую часть, но это совсем другая история
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 02-Авг-21 09:46
Давно у нас отрыжка оффтопика стала медом то? Поддержка нормальных ОС только недавно появилась, и то стремно пользоваться. Вся твоя простыня одно большое ненужно.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Отражение луны , 04-Авг-21 10:48
Колбэкхэл случается когда не умеешь писать код. В целом никаких с ним проблем нет если понимание языка на достаточном уровне.
TS на самом деле не нужен, он привносит больше проблем чем решает.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено 1 , 02-Авг-21 10:09
юзай Erlang Льюк !
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 05-Авг-21 06:55
> Erlang
> LL = [X*X || X <- L],Это что за загадочные закорючки? Не про обфускаторы кода речь вроде шла.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено макпыф , 31-Июл-21 15:07
причем тут java?
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 01-Авг-21 01:03
А что не так? В nodejs нет кода на java, значит, разработчики nodejs не умеют в java. Всё логично! :-)
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 02-Авг-21 16:48
Так либу писали не они https://nghttp2.org/Вот и доверяй плюсоватым пограмистам.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено ХрюХрю , 31-Июл-21 15:28
вот вот ноду надо на расте переписать...
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноноша , 31-Июл-21 18:33
уже есть deno
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Онаним , 31-Июл-21 10:47
Плять.
Хорошо что я это счастье в сеть пропускаю по-минимуму, ни одного критичного места на нём ни у одного смузихлёба так и нет.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 11:23
>JavaScript-платформы Node.js
>Проблема вызвана обращением к уже освобождённой области памятиКак так-то?! JavaScript это же безопасТная работа с памятью!
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 12:16
Там, наверное, модуль на С.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 12:28
Анон, ну надо же читать новость перед написание коммента!
Там же ссылка на исправление есть https://github.com/nodejs/node/commit/b263f2585ab53f56e0e22b... - node_http2.cc
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 03-Авг-21 18:57
Естественно. Если обезьянкам или растоманам доверить важный код то так и выйдет.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено another_one , 07-Авг-21 15:44
Согласен, си-прогеры те еще обезьянки - https://nghttp2.org/
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 12:28
> Уязвимость в http2-модуле из состава Node.js Ну что сказать... http2... Node.js... Уязвимость :)
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 12:36
Ночь. Улица. Фонарь. Аптека
"Уязвимость в http2-модуле из состава Node.js "
Отправлено десу всё , 01-Авг-21 00:55
Стол. Компьютер. Аниме. Десу-Десу.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 02-Авг-21 16:42
Бака.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 14:26
> Ну что сказать... http2... Node.js... Уязвимость :)Ты пропусти самое главное: http2... Node.js... C++... Уязвимость :)
Как говорится, из сказки дырявый язык не выкинешь...
"Уязвимость в http2-модуле из состава Node.js "
Отправлено НяшМяш , 31-Июл-21 15:11
Автор, теперь ты обязан каждую уязвимость здесь постить ))
Например, эту "пофиксили" в 14.17.4.
В 14.17.2 пофиксили ещё две CVE (инсталлятор на винде и OOB в DNS lookup).
В 14.16.1 пофиксили 3 CVE (две OpenSSL и одну с npm).
Только на текущем LTS тысячи их.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 19:24
Не вижу комента, что надо было писать на Rust %)
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 21:20
Не на Rust, а на TypeScript.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 23:57
Было выше. https://deno.land/
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 01-Авг-21 01:05
http/2 настолько переусложненный протокол, что той или иной серьезности уязвимости в серверах и клиентах, написанных на "опасных" языках, были вообще в каждой реализации. А где не были, там их стоит поискать :-)
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 03-Авг-21 18:02
Ой, языковед безопастных языков.в Node.js тоже нет работы с памятью. и что?
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 02-Авг-21 16:52
Баг то не в nodejs, а в https://nghttp2.org/
Это не одно и тоже, а внешняя зависимость (как и openSSL).
Автор новости, похайповал?
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 03-Авг-21 15:54
> Уязвимость в http2-модуле из состава Node.js
> Разработчики серверной JavaScript-платформы Node.jsО да, разработчики. Как на расте
"Уязвимость в http2-модуле из состава Node.js "
Отправлено another_one , 07-Авг-21 15:46
Чистокровные сишники же накосячили, впрочем, как всегда - https://nghttp2.org/