URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 124930
[ Назад ]
Исходное сообщение
"Уязвимость в http2-модуле из состава Node.js [BR]"
Отправлено opennews , 31-Июл-21 09:10 
Разработчики серверной JavaScript-платформы Node.js опубликовали корректирующие выпуски 12.22.4, 14.17.4 и 16.6.0, в которых частично устранена уязвимость (CVE-2021-22930) в модуле http2 (клиент HTTP/2.0), позволяющая инициировать крах процесса или потенциально организовать выполнение своего кода в системе при обращении к подконтрольному злоумышленнику хосту...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=55568

Содержание
Сообщения в этом обсуждении
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 09:38 
Ага, круто. Исправили, но не до конца, и заодно всем об этом сказали. Кто-то еще держит у себя нодежс?
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 09:54 
Умные люди перед node ставят nginx (с включенным http2) и проксируют в node простым http.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Онаним , 31-Июл-21 10:47 
Чего проксируют-то? Речь о клиентской либе.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено НяшМяш , 31-Июл-21 15:12 
В ноде в http и http2 находятся как клиент, так и сервер.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 03-Авг-21 10:47 
Уязвимость то в клиенте.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено НяшМяш , 04-Авг-21 22:20 
Имеется ввиду, что в ноде библиотеки не разделены на серверную и клиентскую часть. И очень часто уязвимость касается и того, и другого из-за общей кодовой базы.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 10:48 
Умные люди на nodejs не пишут.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Самый Лучший Гусь , 31-Июл-21 11:03 
Умные люди вообще не пишут и не говорят
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 15:40 
Если ребёнок с психическим расстроиством не смог заговорить в восемь лет. Не беда. Аноним с опеннета сказал что пацан гений.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено ъ , 31-Июл-21 16:18 
т.у. ты не умён.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 23:55 
На чем же они пишут?
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Отражение луны , 01-Авг-21 13:18 
Да, пхп наше все (нет)
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 20:05 
Вообще проблема видимо незамеченной осталась. В браузерах нодажс используется. Если бы вы собирали их из исходников знали бы что без ноды собрать это надо постараться. А потом включаем мозг и догоняем что это уязвимость и браузеров. Клиент и сервер в одной пачке.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 01-Авг-21 00:59 
В Chromium-браузерах используется Javascript-движок V8, тот же, который в NodeJS. Но тут обратный путь - в NodeJS движок взят из Хромиума.

А что нужно для сборки - это вообще смешной аргумент. Для сборки нужен компилятор C++, это не означает, что компилятор C++ будет в составе браузера.

"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 01-Авг-21 07:10 
В мире существуют не только хромовые браузеры. Но да, хорошо если эта подозрительная дыра не затронула браузеры по полной программе. И для Firefox нужен Rust для сборки. Что в Gentoo приблизительно уравнивает первую сборку браузеров по скорости, но потом более легкий Firefox собирается быстрее, потому что Rust обновляют относительно редко.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено w3c всё , 01-Авг-21 00:49 
умные люди юзают http1.1 + websocket + ssh
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Нанобот , 01-Авг-21 09:40 
> клиент HTTP/2.0
> Умные люди перед node ставят nginx

😂 И как, помогает?

"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 09:48 
А эксплойт то в части на плюсах. Это так мило.
https://github.com/nodejs/node/commit/e47d2d25775336ded70fcf...
"Уязвимость в http2-модуле из состава Node.js "
Отправлено нах.. , 31-Июл-21 10:59 
И не говори, нодовцы не умеют ни явя ни в плюсы.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 11:43 
у меня наоборот, могу в ява и плюсы, а жс тяжко даётся.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено kissmyass , 31-Июл-21 12:03 
потому что, чтобы любить JS надо быть дегенератом

я его тоже ненавижу, но использую - выбора нет

"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 12:10 
Ждем распространения wasm чтобы фронт можно было писать на человеческих языках
"Уязвимость в http2-модуле из состава Node.js "
Отправлено kissmyass , 31-Июл-21 13:57 
> Ждем распространения wasm чтобы фронт можно было писать на человеческих языках

ну хз я и так юзаю Bridge.NET, но его прикрыли из-за не сильно большой популярности

но уже есть форк H5 называется, можно писать на C#

минус только что WASM (Blazor), что бридж - это размер файлов рантайма лишний мегабайт или даже два

"Уязвимость в http2-модуле из состава Node.js "
Отправлено w3c всё , 01-Авг-21 00:52 
сиси-плюсплюс - с емскриптером, go со своим встроенным компилятором - аж бегом
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Отражение луны , 01-Авг-21 13:21 
Чтобы js любить нужно его понимать. Т.е. он не для джунов и не для опеннетовцев
"Уязвимость в http2-модуле из состава Node.js "
Отправлено kissmyass , 01-Авг-21 14:36 
> Чтобы js любить нужно его понимать. Т.е. он не для джунов и
> не для опеннетовцев

а что там непонятного, на заре интернета придумали якобы простой и полностью упоротый язык в меру своих знаний, за 20 лет накачали это УГ стероидами

от того что ты понимаешь парадигму JS она не становится конфеткой

"Уязвимость в http2-модуле из состава Node.js "
Отправлено Отражение луны , 01-Авг-21 18:49 
Парадигма js с тех пор cильно сместилась.
В общем-то оснвным преимуществом js является асинхронность, отлично поддеживаемая на уровне самого языка. Я в общем-то готов писать на любом языке, имеющем event loop под копотом, потому что это эффективно с точки зрения потребляемых ресурсов. Но вот беда - ни питон, ни джава в полноценную асинхронность так и не смогли. Про .net не скажу, не юзал.
Понимание js в общем-то сейчас и сводится к пониманию ивент лупа, замыканий, и тому, как не засрать память. Разобраться с этим не сложно, но многие вещи так же не лежат на поверхности.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено kissmyass , 02-Авг-21 05:58 
> Парадигма js с тех пор cильно сместилась.
> В общем-то оснвным преимуществом js является асинхронность, отлично поддеживаемая на уровне
> самого языка. Я в общем-то готов писать на любом языке, имеющем
> event loop под копотом, потому что это эффективно с точки зрения
> потребляемых ресурсов. Но вот беда - ни питон, ни джава в
> полноценную асинхронность так и не смогли. Про .net не скажу, не
> юзал.
> Понимание js в общем-то сейчас и сводится к пониманию ивент лупа, замыканий,
> и тому, как не засрать память. Разобраться с этим не сложно,
> но многие вещи так же не лежат на поверхности.

отлично поддерживаемый колбек хелом? в дотнете async появился лет на 5 раньше

в джава все сложнее там миллион разных велосипедов: https://www.baeldung.com/java-asynchronous-programming

в дотнет кстати помимо тасков тоже дохера вских пулов, и Parallel'ов, юзай что хочешь

да все эти евент лупы и замыкания нафиг не вперлись, когда тебе нужен предсказумый и легко читаемый код, кому он нахрен нужен ООП на прототипах, динамическая типизация и прочий цирк

если JS такой великолепный (нет), то накой они придумало полу-костыль в виде TS?
накой нам очердной супер UI фреймворк, который вот сейчас точно решит все проблемы (нет)

в общем пчелы не доказывают мухам, что мед лучше чем говно, и я не буду )))
другое дело что не обмазаться не получится, если делаешь клиентскую часть, но это совсем другая история

"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 02-Авг-21 09:46 
Давно у нас отрыжка оффтопика стала медом то? Поддержка нормальных ОС только недавно появилась, и то стремно пользоваться. Вся твоя простыня одно большое ненужно.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Отражение луны , 04-Авг-21 10:48 
Колбэкхэл случается когда не умеешь писать код. В целом никаких с ним проблем нет если понимание языка на достаточном уровне.
TS на самом деле не нужен, он привносит больше проблем чем решает.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено 1 , 02-Авг-21 10:09 
юзай Erlang Льюк !
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 05-Авг-21 06:55 
> Erlang
> LL = [X*X || X <- L],

Это что за загадочные закорючки? Не про обфускаторы кода речь вроде шла.

"Уязвимость в http2-модуле из состава Node.js "
Отправлено макпыф , 31-Июл-21 15:07 
причем тут java?
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 01-Авг-21 01:03 
А что не так? В nodejs нет кода на java, значит, разработчики nodejs не умеют в java. Всё логично! :-)
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 02-Авг-21 16:48 
Так либу писали не они https://nghttp2.org/

Вот и доверяй плюсоватым пограмистам.

"Уязвимость в http2-модуле из состава Node.js "
Отправлено ХрюХрю , 31-Июл-21 15:28 
вот вот ноду надо на расте переписать...
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноноша , 31-Июл-21 18:33 
уже есть deno
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Онаним , 31-Июл-21 10:47 
Плять.
Хорошо что я это счастье в сеть пропускаю по-минимуму, ни одного критичного места на нём ни у одного смузихлёба так и нет.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 11:23 
>JavaScript-платформы Node.js
>Проблема вызвана обращением к уже освобождённой области памяти

Как так-то?! JavaScript это же безопасТная работа с памятью!

"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 12:16 
Там, наверное, модуль на С.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 12:28 
Анон, ну надо же читать новость перед написание коммента!
Там же ссылка на исправление есть https://github.com/nodejs/node/commit/b263f2585ab53f56e0e22b... - node_http2.cc
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 03-Авг-21 18:57 
Естественно. Если обезьянкам или растоманам доверить важный код то так и выйдет.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено another_one , 07-Авг-21 15:44 
Согласен, си-прогеры те еще обезьянки - https://nghttp2.org/
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 12:28 
> Уязвимость в http2-модуле из состава Node.js

Ну что сказать... http2... Node.js... Уязвимость :)

"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 12:36 
Ночь. Улица. Фонарь. Аптека
"Уязвимость в http2-модуле из состава Node.js "
Отправлено десу всё , 01-Авг-21 00:55 
Стол. Компьютер. Аниме. Десу-Десу.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 02-Авг-21 16:42 
Бака.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 14:26 
> Ну что сказать... http2... Node.js... Уязвимость :)

Ты пропусти самое главное: http2... Node.js... C++... Уязвимость :)

Как говорится, из сказки дырявый язык не выкинешь...

"Уязвимость в http2-модуле из состава Node.js "
Отправлено НяшМяш , 31-Июл-21 15:11 
Автор, теперь ты обязан каждую уязвимость здесь постить ))


Например, эту "пофиксили" в 14.17.4.
В 14.17.2 пофиксили ещё две CVE (инсталлятор на винде и OOB в DNS lookup).
В 14.16.1 пофиксили 3 CVE (две OpenSSL и одну с npm).

Только на текущем LTS тысячи их.

"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 19:24 
Не вижу комента, что надо было писать на Rust %)
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 21:20 
Не на Rust, а на TypeScript.
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 31-Июл-21 23:57 
Было выше. https://deno.land/
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 01-Авг-21 01:05 
http/2 настолько переусложненный протокол, что той или иной серьезности уязвимости в серверах и клиентах, написанных на "опасных" языках, были вообще в каждой реализации. А где не были, там их стоит поискать :-)
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 03-Авг-21 18:02 
Ой, языковед безопастных языков.

в Node.js тоже нет работы с памятью. и что?

"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 02-Авг-21 16:52 
Баг то не в nodejs, а в https://nghttp2.org/
Это не одно и тоже, а внешняя зависимость (как и openSSL).
Автор новости, похайповал?
"Уязвимость в http2-модуле из состава Node.js "
Отправлено Аноним , 03-Авг-21 15:54 
> Уязвимость в http2-модуле из состава Node.js
> Разработчики серверной JavaScript-платформы Node.js

О да, разработчики. Как на расте

"Уязвимость в http2-модуле из состава Node.js "
Отправлено another_one , 07-Авг-21 15:46 
Чистокровные сишники же накосячили, впрочем, как всегда -  https://nghttp2.org/