forum.opennet.ru - "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн загрузок в неделю" (48)

"Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн загрузок в неделю"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн загрузок в неделю"	+/–
Сообщение от opennews (??), 02-Сен-21, 22:52
В NPM-пакете pac-resolver, насчитывающем более 3 млн загрузок в неделю, выявлена уязвимость (CVE-2021-23406), которая позволяет добиться выполнения своего JavaScript-кода в контексте приложения при отправке HTTP-запросов из Node.js-проектов, поддерживающих функцию автонастройки прокси-сервера... Подробнее: https://www.opennet.me/opennews/art.shtml?num=55728
Ответить \| Правка \| Cообщить модератору

Оглавление

По предварительным расчётам, за полгода уязвимость охватывает всё население Мидг, InuYasha (??), 22:52 , 02-Сен-21, (1) +4
Надоже, даже без работы с памятью Кто бы сомневался Толи ещё Rust ожидает , Аноним (2), 22:53 , 02-Сен-21, (2) +10

Зато с eval ом , Ordu (ok), 00:26 , 03-Сен-21, (7) +3
Просто был бы дырявый софт на Rust Те же яйца только в профиль и большим количе, Аноним (34), 11:57 , 03-Сен-21, (34) +1

Эта проблема решается выкидыванием всех этих NPM и им подобных каргоф ДНК конеч, Аноним (2), 22:55 , 02-Сен-21, (3)

Я правильно тебя понял, ты предлагаешь писать код без библиотек вообще Или у те, Аноним (4), 23:03 , 02-Сен-21, (4) –1

Сейчас библиотеки такие, что сложность написания кода без них гораздо ниже, чем , Аноним (5), 23:30 , 02-Сен-21, (5) +3

Сразу видно, что ничего сложнее hello world в жизни не писал , Аноним (10), 01:12 , 03-Сен-21, (10) +7

Хм, hello, world без библиотеки ввода-вывода ну это только на Assembler-е И, Ag (ok), 07:50 , 03-Сен-21, (15) +2

В современных, многозадачных, операционных системах, Вам не дадут из защищенного, andy (??), 11:57 , 03-Сен-21, (35)

И ты гарантируешь отсутсвие уязвимостей в этом своем коде без библиотек , Аноним (4), 08:02 , 03-Сен-21, (17) +3

Не в ту сторону воюетеПротив библиотек никто не выступалИ есть разница между уни, Аноним (49), 18:08 , 04-Сен-21, (49)

Авторы изделий на JS и для JS, к сожалению, биологически повреждены и любой резу, And (??), 08:25 , 03-Сен-21, (21) –1

В изначальном сообщении написано следующееПод подобные карги попадают так же в, Аноним (4), 10:32 , 03-Сен-21, (33)

Жаль что тебя не изолировали, Аноним (19), 08:06 , 03-Сен-21, (19)
Ага-ага Ты и сам не юзаешь сторонние библиотеки или только советуешь , Ненавижу SJW (?), 09:13 , 03-Сен-21, (26)

Там было хоть слово против библиотек , Аноним (49), 18:09 , 04-Сен-21, (50)

Всегда такое было, и вот опять , бедный буратино (ok), 00:18 , 03-Сен-21, (6) +2
Вау В eval-языке нашли уязвимость - он может исполнить код, пришедший как дан, Dzen Python (ok), 00:36 , 03-Сен-21, (8) +2

Кому-то показалось хорошей идеей автоматически выполнять код пришедший как данны, Аноньимъ (ok), 01:13 , 03-Сен-21, (11) +1

Их сейчас с js на rust переучивают ускоренно, чтоб в ядро коммитили, Аноним (49), 18:11 , 04-Сен-21, (51) +1

Я правильно понимаю, что проблему устранили указанием в документации что API теп, Аноньимъ (ok), 01:12 , 03-Сен-21, (9)

обычная настройка wpad происходит Стандарт netscape 1996го года Платформенно н, пох. (?), 10:12 , 03-Сен-21, (32) +1

Сжечь Там есть какое-то оправдание хотя бы для того чтобы вместо настроек прокси, Аноньимъ (ok), 18:03 , 03-Сен-21, (40) –1

Ты тоже разработчик, что-ли Пойти и прочитать документацию - не Код возвращает , пох. (?), 19:12 , 03-Сен-21, (42) +1

А как это делает этот скрипт Просто списка с фильтром по регуляркам недостаточно, Аноньимъ (ok), 19:31 , 03-Сен-21, (44)

В документации было и осталось предупреждение, что не через vm нельзя запускать , another_one (ok), 09:45 , 04-Сен-21, (48)

Ура 3 миллиона уязвимостей по всему миру , Аноним (14), 05:11 , 03-Сен-21, (14) +1
Да не может такого быть , Какаянахренразница (ok), 07:54 , 03-Сен-21, (16)
Красивая халтура Такое не публикуют, или код плохой Это тот признак, по котор, And (??), 08:04 , 03-Сен-21, (18) –1
Неужели Node js всё еще кто-то использует , Аноним (20), 08:25 , 03-Сен-21, (20) –3

Технологии на базе Жабасрипта рулят , Аноним (-), 08:34 , 03-Сен-21, (22) –4
Да, ёжики , Аноним (5), 08:34 , 03-Сен-21, (23)
Дурак Это я вас пользую , Node js (?), 10:00 , 03-Сен-21, (30) +1

Зачем 3 млн юзеров в неделю парсят PAC файлы , Аноним (24), 08:57 , 03-Сен-21, (24)

Это автоматические загрузки по дереву нпм-зависимостей Юзеры даже не в курсе , Аноним (25), 09:04 , 03-Сен-21, (25) +1

Воистину по дереву , anonymous (??), 09:40 , 03-Сен-21, (29) +1

leftpad такой leftpad, 1 (??), 09:37 , 03-Сен-21, (28) –1
а кто их спрашивал-то , Node js (?), 10:02 , 03-Сен-21, (31)

Подробности интересны Какие конкретно либы и для чего , Аноньимъ (ok), 15:02 , 03-Сен-21, (39)

Можно подумать в этом вашем Пэйтоунэ не так же , Аноним (34), 11:58 , 03-Сен-21, (36)

Слабенькая отмазка , Какаянахренразница (ok), 12:07 , 03-Сен-21, (37) +2

Это по определению программа из одной строки на Perl , то есть JavaScript Ровн, Алексей (??), 14:16 , 03-Сен-21, (38) –1

Не понял, но осуждаю Браузер как и пользователь вообще не причемВыполняет nodejs, Аноним (49), 18:20 , 04-Сен-21, (52)

Нужен meta npm с рейтингом модулей За уязвимости рейтинг само собой снижать , Аноним (41), 18:21 , 03-Сен-21, (41)

повышать же ж Кто не сидел тот не паца ой, простите, окошком ошибся В ком не, пох. (?), 19:14 , 03-Сен-21, (43)

кто сказал, что это уязвимость , Аноним (45), 19:49 , 03-Сен-21, (45)
Любителей тянуть в рот всё свеженькое из непонятных источников опять поимели Вп, Онаним (?), 23:41 , 03-Сен-21, (47) +1

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +4 +/–

Сообщение от InuYasha (??), 02-Сен-21, 22:52

По предварительным расчётам, за полгода уязвимость охватывает всё население Мидгарда )

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +10 +/–

Сообщение от Аноним (2), 02-Сен-21, 22:53

Надоже, даже без работы с памятью. Кто бы сомневался. Толи ещё Rust ожидает.

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +3 +/–

Сообщение от Ordu (ok), 03-Сен-21, 00:26

> Надоже, даже без работы с памятью.
Зато с eval'ом.

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +1 +/–

Сообщение от Аноним (34), 03-Сен-21, 11:57

Просто был бы дырявый софт на Rust. Те же яйца только в профиль и большим количеством разных скобочек [{(<.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +/–

Сообщение от Аноним (2), 02-Сен-21, 22:55

> Проблема устранена в выпуске pac-resolver 5.0.0, который переведён на использование библиотеки vm2, предоставляющей уровень изоляции для запуска не заслуживающего доверие кода.
Эта проблема решается выкидыванием всех этих NPM и им подобных каргоф. ДНК конечно поврежденно навсегда, но есть благотварительные организации которые таких хотябы изолируют.

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." –1 +/–

Сообщение от Аноним (4), 02-Сен-21, 23:03

Я правильно тебя понял, ты предлагаешь писать код без библиотек вообще? Или у тебя есть гарантия того, что та либа, которую ты взял без некоторого менеджера зависимостей, неуязвима?

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +3 +/–

Сообщение от Аноним (5), 02-Сен-21, 23:30

> писать код без библиотек вообще?
Сейчас библиотеки такие, что сложность написания кода без них гораздо ниже, чем использовать их.

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +7 +/–

Сообщение от Аноним (10), 03-Сен-21, 01:12

Сразу видно, что ничего сложнее hello world в жизни не писал.

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +2 +/–

Сообщение от Ag (ok), 03-Сен-21, 07:50

Хм, "hello, world" без библиотеки ввода-вывода.. ну это только на Assembler-е. И чур (на x86) без ф-ций BIOS.

Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +/–

Сообщение от andy (??), 03-Сен-21, 11:57

> Хм, "hello, world" без библиотеки ввода-вывода.. ну это только на Assembler-е. И чур (на x86) без > ф-ций BIOS.
В современных, многозадачных, операционных системах, Вам не дадут из защищенного режима вызывать функции BIOS. К примеру, в Linux'е, вам следует воспользоваться int80h для x86, либо вызовом syscall для x86-64.
https://packagecloud.io/blog/the-definitive-guide-to-linux-s...

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +3 +/–

Сообщение от Аноним (4), 03-Сен-21, 08:02

И ты гарантируешь отсутсвие уязвимостей в этом своем коде без библиотек?

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

49. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +/–

Сообщение от Аноним (49), 04-Сен-21, 18:08

Не в ту сторону воюете
Против библиотек никто не выступал
И есть разница между уникальной уязвимостью одного проекта и массовой

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." –1 +/–

Сообщение от And (??), 03-Сен-21, 08:25

> Я правильно тебя понял, ты предлагаешь писать код без библиотек вообще? Или у тебя есть гарантия того, что та либа, которую ты взял без некоторого менеджера зависимостей, неуязвима?
Авторы изделий на JS и для JS, к сожалению, биологически повреждены и любой результат их попыток их труда опасен низким качеством.
Что с библиотеками, что без библиотек... JS - это как Жигули - на вид приемлемо, в эксплуатации - есть много людей, которые обучены производить несравненно более качественные в применении продукты жизнедеятельности.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

33. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +/–

Сообщение от Аноним (4), 03-Сен-21, 10:32

В изначальном сообщении написано следующее
> проблема решается выкидыванием всех этих NPM и им подобных каргоф
Под "подобные карги" попадают так же всякие maven, cpan, conan и прочее выполняющее управление зависимостями. Сообщение анона говорит, что это не нужно, тогда библиотеками нужно рулить руками или не использовать библиотеки. Но разве от того, что библиотека завезена в проект руками, появляется больше гарантии на отсутсвие уязвимости в них? Или появляется больше гарантии, что в твоем велосипеде этих уязвимостей нет?

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +/–

Сообщение от Аноним (19), 03-Сен-21, 08:06

Жаль что тебя не изолировали

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

26. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +/–

Сообщение от Ненавижу SJW (?), 03-Сен-21, 09:13

Ага-ага. Ты и сам не юзаешь сторонние библиотеки или только советуешь?

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

50. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +/–

Сообщение от Аноним (49), 04-Сен-21, 18:09

Там было хоть слово против библиотек?

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +2 +/–

Сообщение от бедный буратино (ok), 03-Сен-21, 00:18

Всегда такое было, и вот опять.

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +2 +/–

Сообщение от Dzen Python (ok), 03-Сен-21, 00:36

Вау! В eval-языке нашли "уязвимость" - он может исполнить код, пришедший как данные!

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +1 +/–

Сообщение от Аноньимъ (ok), 03-Сен-21, 01:13

Кому-то показалось хорошей идеей автоматически выполнять код пришедший как данные из случайного источника.

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +1 +/–

Сообщение от Аноним (49), 04-Сен-21, 18:11

Их сейчас с js на rust переучивают ускоренно, чтоб в ядро коммитили

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +/–

Сообщение от Аноньимъ (ok), 03-Сен-21, 01:12

>Указанный API явно помечен в документации как не предназначенный для запуска кода, не заслуживающего доверия, так как он не предоставляет полноценной изоляции запускаемого кода и позволяет получить доступ к изначальному контексту. Проблема устранена в выпуске pac-resolver 5.0.0, который переведён на использование библиотеки vm2, предоставляющей более высокий уровень изоляции, подходящий для запуска не заслуживающего доверия кода.
Я правильно понимаю, что проблему устранили указанием в документации что API теперь предназначено для запуска не заслуживающего доверия кода?
>PAC-файл содержит обычный JavaScript-код с функцией FindProxyForURL, определяющей логику выбора прокси в зависимости от хоста и запрашиваемого URL. Суть уязвимости в том, что для выполнения данного JavaScript-кода в pac-resolver применялся предоставляемый в Node.js API
Чего блин?
Загружать хрен пойми откуда код и выполнять его У СЕБЯ НА СЕРВЕРЕ/приложении чтобы настроить прокси?
Что происходит?
Что это за нафиг такой?
Остановите это немедленно!

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +1 +/–

Сообщение от пох. (?), 03-Сен-21, 10:12

> Загружать хрен пойми откуда код и выполнять его У СЕБЯ НА СЕРВЕРЕ/приложении чтобы настроить прокси?
> Что происходит?
обычная настройка wpad происходит. Стандарт netscape 1996го года. Платформенно независимое решение чтоб не бегать всем юзверькам не настраивать вручную.
wpad.dat - таки да, содержит js код. Предназначен для выполнения _браузером_ , который вообще рассчитан на выполнение непойми откуда кодов.
Попутно у одной корпорации зла есть в dns-сервере интересный костылик, не позволяющий первому попавшемуся васяну раздать по всей твоей организации такой файлик. Но то ж корпорация, зла. А в твоем любимом systemd-allshitd - нету костылика. Весь мусор с пола - сразу в рот.

Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." –1 +/–

Сообщение от Аноньимъ (ok), 03-Сен-21, 18:03

>обычная настройка wpad происходит.
>wpad
Сжечь.
>wpad.dat - таки да, содержит js код. Предназначен для выполнения _браузером_ , который вообще рассчитан на выполнение непойми откуда кодов.
Там есть какое-то оправдание хотя бы для того чтобы вместо настроек прокси выдавать жс код?

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +1 +/–

Сообщение от пох. (?), 03-Сен-21, 19:12

Ты тоже разработчик, что-ли? Пойти и прочитать документацию - не?
Код возвращает настройку прокси - отдельно для каждого возможного и невозможного урла, потому что, внезапно, они могут отличаться для разных адресов. Расскажи мне, как это сделать универсальным образом без скриптов?
И дальше - о ужас, вообще сайт откроется! Вполне возможно - в ИНТЕРНЕТЕ! Который тоже может выполнить в твоем браузере - код!
Разница в том, что модные-современные веб-макакеры притащили технологию, предназначенную для исполнения исключительно браузером (где этот код был тщательно ограничен в возможностях что-то пощупать вне браузера) - в саму систему. Поскольку изучить языки отличные от js уже были не в силах.
А набор ограничений оставили по дороге - потому что нахрен бы был такой код не нужен никому (вспомним жаба-аплеты которые ничего толком не умели делать именно потому что ничего и не могли)
Теперь вот - костылят подпорки уже на самом js. Получается не всегда.

Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +/–

Сообщение от Аноньимъ (ok), 03-Сен-21, 19:31

> Код возвращает настройку прокси - отдельно для каждого возможного и невозможного урла,
> потому что, внезапно, они могут отличаться для разных адресов. Расскажи мне,
> как это сделать универсальным образом без скриптов?
А как это делает этот скрипт?
Просто списка с фильтром по регуляркам недостаточно?
>И дальше - о ужас, вообще сайт откроется! Вполне возможно - в ИНТЕРНЕТЕ! Который тоже может выполнить в твоем браузере - код!
Этот код как бы обычно остаётся в песочнице бравзера и не изменяет настройки бравзера.
Тоже скотство конечно.

Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +/–

Сообщение от another_one (ok), 04-Сен-21, 09:45

> Я правильно понимаю, что проблему устранили указанием в документации что API теперь предназначено для запуска не заслуживающего доверия кода?
В документации было и осталось предупреждение, что не через vm нельзя запускать недоверенный код. А проблему устранили переводом pac-resolver на стороннюю либу vm2, в которой крайне огороженная песочница с ограниченным доступом к текущему runtime.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

14. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +1 +/–

Сообщение от Аноним (14), 03-Сен-21, 05:11

Ура!!! 3 миллиона уязвимостей по всему миру!

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +/–

Сообщение от Какаянахренразница (ok), 03-Сен-21, 07:54

Да не может такого быть!

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." –1 +/–

Сообщение от And (??), 03-Сен-21, 08:04

> Указанный API явно помечен в документации как не предназначенный для запуска кода, не заслуживающего доверия, так как он не предоставляет полноценной изоляции запускаемого кода и позволяет получить доступ к изначальному контексту.
Красивая халтура. (Такое не публикуют, или код плохой. Это тот признак, по которому 3 млн. загрузок в неделю не справляются с правильным долгосрочным выбором технологии.)

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." –3 +/–

Сообщение от Аноним (20), 03-Сен-21, 08:25

Неужели Node.js всё еще кто-то использует?

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." –4 +/–

Сообщение от Аноним (-), 03-Сен-21, 08:34

Технологии на базе Жабасрипта рулят.

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +/–

Сообщение от Аноним (5), 03-Сен-21, 08:34

Да, ёжики.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

30. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +1 +/–

Сообщение от Node js (?), 03-Сен-21, 10:00

Дурак! Это я вас пользую!

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

24. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +/–

Сообщение от Аноним (24), 03-Сен-21, 08:57

Зачем 3 млн юзеров в неделю парсят PAC файлы?

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +1 +/–

Сообщение от Аноним (25), 03-Сен-21, 09:04

Это автоматические загрузки по дереву нпм-зависимостей. Юзеры даже не в курсе.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +1 +/–

Сообщение от anonymous (??), 03-Сен-21, 09:40

Воистину по дереву.

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." –1 +/–

Сообщение от 1 (??), 03-Сен-21, 09:37

leftpad ... такой leftpad

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

31. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +/–

Сообщение от Node js (?), 03-Сен-21, 10:02

> Зачем 3 млн юзеров в неделю парсят PAC файлы?
а кто их спрашивал-то?!

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

39. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +/–

Сообщение от Аноньимъ (ok), 03-Сен-21, 15:02

>> Зачем 3 млн юзеров в неделю парсят PAC файлы?
> а кто их спрашивал-то?!
Подробности интересны.
Какие конкретно либы и для чего.

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +/–

Сообщение от Аноним (34), 03-Сен-21, 11:58

Можно подумать в этом вашем Пэйтоунэ не так же.

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +2 +/–

Сообщение от Какаянахренразница (ok), 03-Сен-21, 12:07

Слабенькая отмазка.

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." –1 +/–

Сообщение от Алексей (??), 03-Сен-21, 14:16

> PAC-файл содержит обычный JavaScript-код
Это по определению "программа из одной строки на Perl", то есть JavaScript. Ровно с теми же последствиями. Только тут не нужно дурака перед клавиатурой, браузер скачает и запустит автоматически. Какая прелесть.

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +/–

Сообщение от Аноним (49), 04-Сен-21, 18:20

Не понял, но осуждаю?
Браузер как и пользователь вообще не причем
Выполняет nodejs, само
Потому что взяли кусок браузерной технологии, где оно к месту и всё хорошо, и вкорячили на сервер, где оно дырка

Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +/–

Сообщение от Аноним (41), 03-Сен-21, 18:21

Нужен meta npm с рейтингом модулей. За уязвимости рейтинг само собой снижать.

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +/–

Сообщение от пох. (?), 03-Сен-21, 19:14

> Нужен meta npm с рейтингом модулей. За уязвимости рейтинг само собой снижать.
повышать же ж! Кто не сидел тот не паца...ой, простите, окошком ошибся. В ком не нашли еще увизгвимостей - тот значит 100% ненужное ненужно!

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +/–

Сообщение от Аноним (45), 03-Сен-21, 19:49

кто сказал, что это уязвимость?

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..." +1 +/–

Сообщение от Онаним (?), 03-Сен-21, 23:41

Любителей тянуть в рот всё свеженькое из непонятных источников опять поимели. Впрочем, так им и надо.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+4 +/–
Сообщение от InuYasha (??), 02-Сен-21, 22:52
По предварительным расчётам, за полгода уязвимость охватывает всё население Мидгарда )
Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+10 +/–
Сообщение от Аноним (2), 02-Сен-21, 22:53
Надоже, даже без работы с памятью. Кто бы сомневался. Толи ещё Rust ожидает.
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+3 +/–
	Сообщение от Ordu (ok), 03-Сен-21, 00:26
	> Надоже, даже без работы с памятью. Зато с eval'ом.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+1 +/–
	Сообщение от Аноним (34), 03-Сен-21, 11:57
	Просто был бы дырявый софт на Rust. Те же яйца только в профиль и большим количеством разных скобочек [{(<.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору

3. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+/–
Сообщение от Аноним (2), 02-Сен-21, 22:55
> Проблема устранена в выпуске pac-resolver 5.0.0, который переведён на использование библиотеки vm2, предоставляющей уровень изоляции для запуска не заслуживающего доверие кода. Эта проблема решается выкидыванием всех этих NPM и им подобных каргоф. ДНК конечно поврежденно навсегда, но есть благотварительные организации которые таких хотябы изолируют.
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	–1 +/–
	Сообщение от Аноним (4), 02-Сен-21, 23:03
	Я правильно тебя понял, ты предлагаешь писать код без библиотек вообще? Или у тебя есть гарантия того, что та либа, которую ты взял без некоторого менеджера зависимостей, неуязвима?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+3 +/–
	Сообщение от Аноним (5), 02-Сен-21, 23:30
	> писать код без библиотек вообще? Сейчас библиотеки такие, что сложность написания кода без них гораздо ниже, чем использовать их.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+7 +/–
	Сообщение от Аноним (10), 03-Сен-21, 01:12
	Сразу видно, что ничего сложнее hello world в жизни не писал.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+2 +/–
	Сообщение от Ag (ok), 03-Сен-21, 07:50
	Хм, "hello, world" без библиотеки ввода-вывода.. ну это только на Assembler-е. И чур (на x86) без ф-ций BIOS.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+/–
	Сообщение от andy (??), 03-Сен-21, 11:57
	> Хм, "hello, world" без библиотеки ввода-вывода.. ну это только на Assembler-е. И чур (на x86) без > ф-ций BIOS. В современных, многозадачных, операционных системах, Вам не дадут из защищенного режима вызывать функции BIOS. К примеру, в Linux'е, вам следует воспользоваться int80h для x86, либо вызовом syscall для x86-64. https://packagecloud.io/blog/the-definitive-guide-to-linux-s...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+3 +/–
	Сообщение от Аноним (4), 03-Сен-21, 08:02
	И ты гарантируешь отсутсвие уязвимостей в этом своем коде без библиотек?
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	49. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+/–
	Сообщение от Аноним (49), 04-Сен-21, 18:08
	Не в ту сторону воюете Против библиотек никто не выступал И есть разница между уникальной уязвимостью одного проекта и массовой
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	–1 +/–
	Сообщение от And (??), 03-Сен-21, 08:25
	> Я правильно тебя понял, ты предлагаешь писать код без библиотек вообще? Или у тебя есть гарантия того, что та либа, которую ты взял без некоторого менеджера зависимостей, неуязвима? Авторы изделий на JS и для JS, к сожалению, биологически повреждены и любой результат их попыток их труда опасен низким качеством. Что с библиотеками, что без библиотек... JS - это как Жигули - на вид приемлемо, в эксплуатации - есть много людей, которые обучены производить несравненно более качественные в применении продукты жизнедеятельности.
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	33. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+/–
	Сообщение от Аноним (4), 03-Сен-21, 10:32
	В изначальном сообщении написано следующее > проблема решается выкидыванием всех этих NPM и им подобных каргоф Под "подобные карги" попадают так же всякие maven, cpan, conan и прочее выполняющее управление зависимостями. Сообщение анона говорит, что это не нужно, тогда библиотеками нужно рулить руками или не использовать библиотеки. Но разве от того, что библиотека завезена в проект руками, появляется больше гарантии на отсутсвие уязвимости в них? Или появляется больше гарантии, что в твоем велосипеде этих уязвимостей нет?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+/–
	Сообщение от Аноним (19), 03-Сен-21, 08:06
	Жаль что тебя не изолировали
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	26. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+/–
	Сообщение от Ненавижу SJW (?), 03-Сен-21, 09:13
	Ага-ага. Ты и сам не юзаешь сторонние библиотеки или только советуешь?
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	50. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+/–
	Сообщение от Аноним (49), 04-Сен-21, 18:09
	Там было хоть слово против библиотек?
	Ответить \| Правка \| Наверх \| Cообщить модератору

6. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+2 +/–
Сообщение от бедный буратино (ok), 03-Сен-21, 00:18
Всегда такое было, и вот опять.
Ответить \| Правка \| Наверх \| Cообщить модератору

8. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+2 +/–
Сообщение от Dzen Python (ok), 03-Сен-21, 00:36
Вау! В eval-языке нашли "уязвимость" - он может исполнить код, пришедший как данные!
Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+1 +/–
	Сообщение от Аноньимъ (ok), 03-Сен-21, 01:13
	Кому-то показалось хорошей идеей автоматически выполнять код пришедший как данные из случайного источника.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+1 +/–
	Сообщение от Аноним (49), 04-Сен-21, 18:11
	Их сейчас с js на rust переучивают ускоренно, чтоб в ядро коммитили
	Ответить \| Правка \| Наверх \| Cообщить модератору

9. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+/–
Сообщение от Аноньимъ (ok), 03-Сен-21, 01:12
>Указанный API явно помечен в документации как не предназначенный для запуска кода, не заслуживающего доверия, так как он не предоставляет полноценной изоляции запускаемого кода и позволяет получить доступ к изначальному контексту. Проблема устранена в выпуске pac-resolver 5.0.0, который переведён на использование библиотеки vm2, предоставляющей более высокий уровень изоляции, подходящий для запуска не заслуживающего доверия кода. Я правильно понимаю, что проблему устранили указанием в документации что API теперь предназначено для запуска не заслуживающего доверия кода? >PAC-файл содержит обычный JavaScript-код с функцией FindProxyForURL, определяющей логику выбора прокси в зависимости от хоста и запрашиваемого URL. Суть уязвимости в том, что для выполнения данного JavaScript-кода в pac-resolver применялся предоставляемый в Node.js API Чего блин? Загружать хрен пойми откуда код и выполнять его У СЕБЯ НА СЕРВЕРЕ/приложении чтобы настроить прокси? Что происходит? Что это за нафиг такой? Остановите это немедленно!
Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+1 +/–
	Сообщение от пох. (?), 03-Сен-21, 10:12
	> Загружать хрен пойми откуда код и выполнять его У СЕБЯ НА СЕРВЕРЕ/приложении чтобы настроить прокси? > Что происходит? обычная настройка wpad происходит. Стандарт netscape 1996го года. Платформенно независимое решение чтоб не бегать всем юзверькам не настраивать вручную. wpad.dat - таки да, содержит js код. Предназначен для выполнения _браузером_ , который вообще рассчитан на выполнение непойми откуда кодов. Попутно у одной корпорации зла есть в dns-сервере интересный костылик, не позволяющий первому попавшемуся васяну раздать по всей твоей организации такой файлик. Но то ж корпорация, зла. А в твоем любимом systemd-allshitd - нету костылика. Весь мусор с пола - сразу в рот.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	–1 +/–
	Сообщение от Аноньимъ (ok), 03-Сен-21, 18:03
	>обычная настройка wpad происходит. >wpad Сжечь. >wpad.dat - таки да, содержит js код. Предназначен для выполнения _браузером_ , который вообще рассчитан на выполнение непойми откуда кодов. Там есть какое-то оправдание хотя бы для того чтобы вместо настроек прокси выдавать жс код?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+1 +/–
	Сообщение от пох. (?), 03-Сен-21, 19:12
	Ты тоже разработчик, что-ли? Пойти и прочитать документацию - не? Код возвращает настройку прокси - отдельно для каждого возможного и невозможного урла, потому что, внезапно, они могут отличаться для разных адресов. Расскажи мне, как это сделать универсальным образом без скриптов? И дальше - о ужас, вообще сайт откроется! Вполне возможно - в ИНТЕРНЕТЕ! Который тоже может выполнить в твоем браузере - код! Разница в том, что модные-современные веб-макакеры притащили технологию, предназначенную для исполнения исключительно браузером (где этот код был тщательно ограничен в возможностях что-то пощупать вне браузера) - в саму систему. Поскольку изучить языки отличные от js уже были не в силах. А набор ограничений оставили по дороге - потому что нахрен бы был такой код не нужен никому (вспомним жаба-аплеты которые ничего толком не умели делать именно потому что ничего и не могли) Теперь вот - костылят подпорки уже на самом js. Получается не всегда.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	44. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+/–
	Сообщение от Аноньимъ (ok), 03-Сен-21, 19:31
	> Код возвращает настройку прокси - отдельно для каждого возможного и невозможного урла, > потому что, внезапно, они могут отличаться для разных адресов. Расскажи мне, > как это сделать универсальным образом без скриптов? А как это делает этот скрипт? Просто списка с фильтром по регуляркам недостаточно? >И дальше - о ужас, вообще сайт откроется! Вполне возможно - в ИНТЕРНЕТЕ! Который тоже может выполнить в твоем браузере - код! Этот код как бы обычно остаётся в песочнице бравзера и не изменяет настройки бравзера. Тоже скотство конечно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+/–
	Сообщение от another_one (ok), 04-Сен-21, 09:45
	> Я правильно понимаю, что проблему устранили указанием в документации что API теперь предназначено для запуска не заслуживающего доверия кода? В документации было и осталось предупреждение, что не через vm нельзя запускать недоверенный код. А проблему устранили переводом pac-resolver на стороннюю либу vm2, в которой крайне огороженная песочница с ограниченным доступом к текущему runtime.
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору

14. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+1 +/–
Сообщение от Аноним (14), 03-Сен-21, 05:11
Ура!!! 3 миллиона уязвимостей по всему миру!
Ответить \| Правка \| Наверх \| Cообщить модератору

16. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	+/–
Сообщение от Какаянахренразница (ok), 03-Сен-21, 07:54
Да не может такого быть!
Ответить \| Правка \| Наверх \| Cообщить модератору

18. "Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за..."	–1 +/–
Сообщение от And (??), 03-Сен-21, 08:04
> Указанный API явно помечен в документации как не предназначенный для запуска кода, не заслуживающего доверия, так как он не предоставляет полноценной изоляции запускаемого кода и позволяет получить доступ к изначальному контексту. Красивая халтура. (Такое не публикуют, или код плохой. Это тот признак, по которому 3 млн. загрузок в неделю не справляются с правильным долгосрочным выбором технологии.)
Ответить \| Правка \| Наверх \| Cообщить модератору