The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В Node.js устранена опасная уязвимость"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Node.js устранена опасная уязвимость"  +/
Сообщение от opennews (??) on 19-Окт-13, 21:59 
В очередных обновлениях серверной JavaScript-платформы Node.js 0.10.21 (http://blog.nodejs.org/2013/10/18/node-v0-10-21-stable/) и 0.8.26 (http://blog.nodejs.org/2013/10/18/node-v0-8-26-maintenance/) устранена опасная уязвимость, затрагивающая реализацию встроенного http-сервера. Всем пользователям  Node.js рекомендуется как можно скорее установить обновление. В анонсе не сообщаются детали о характере уязвимости, но судя по внесённым изменениям (https://github.com/joyent/node/commit/085dd30e93da67362f044a...) проблема может привести (https://news.ycombinator.com/item?id=6574624) к переполнению буфера через отправку определённым образом сформированного потока http pipeline-запросов. Как минимум указанная уязвимость даёт возможность легко вызвать удалённый отказ в обслуживании (прототип эксплоита (https://github.com/joyent/node/blob/085dd30e93da67362f044ad1...)).

URL: http://blog.nodejs.org/2013/10/18/node-v0-10-21-stable/
Новость: http://www.opennet.ru/opennews/art.shtml?num=38207

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "В Node.js устранена опасная уязвимость"  +/
Сообщение от Пиу (ok) on 19-Окт-13, 22:08 
> может привести к переполнению буфера

Переполнение буфера (Buffer Overflow) — явление, возникающее, когда компьютерная программа записывает данные за пределами выделенного в памяти буфера. (wiki)

---

а в этом случае я так понимаю просто DDoS

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В Node.js устранена опасная уязвимость"  +/
Сообщение от оНаним on 19-Окт-13, 22:40 
Ну да. Так и написано
> Как минимум указанная уязвимость даёт возможность легко вызвать удалённый отказ в обслуживании
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "В Node.js устранена опасная уязвимость"  +1 +/
Сообщение от Ordu email(ok) on 19-Окт-13, 23:10 
> а в этом случае я так понимаю просто DDoS

Не DDoS, а DoS. Без "distributed." Путём переполнения буфера, кладётся серверный процесс. Обслуживание клиентов прекращается вплоть до перезапуска процесса.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "В Node.js устранена опасная уязвимость"  +1 +/
Сообщение от Reinar (ok) on 20-Окт-13, 10:38 
Потенциально такие уязвимости всегда оцениваются как RCE (remote code execution), но т.к на практике его удаётся достичь далеко не всегда, то и написали DoS - который можно вызвать гарантированно.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "В Node.js устранена опасная уязвимость"  –2 +/
Сообщение от Аноним (??) on 20-Окт-13, 14:12 
Встроенный веб-сервер в продакшене - отличительный костыль node.js
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "В Node.js устранена опасная уязвимость"  +2 +/
Сообщение от piteri (ok) on 20-Окт-13, 15:21 
Это не костыль, с этого всё и началось.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "В Node.js устранена опасная уязвимость"  +/
Сообщение от Омномом email on 20-Окт-13, 16:43 
Всё началось с того, что не смогли установить Nginx? ))
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "В Node.js устранена опасная уязвимость"  +1 +/
Сообщение от piteri (ok) on 20-Окт-13, 18:48 
Типа того.
Сделать из v8 модуль к apache или nginx они не осилили и сделали шиворот-навыворот.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "В Node.js устранена опасная уязвимость"  +/
Сообщение от angra (ok) on 20-Окт-13, 21:14 
Зачем делать заведомо неправильную вещь? Практика давно показала, что mod_ЯП куда хуже, чем отдельный процесс ЯП.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "В Node.js устранена опасная уязвимость"  +1 +/
Сообщение от piteri (ok) on 21-Окт-13, 11:12 
Чья практика? Чем хуже? Неужели хуже чем встроенный в ЯП сервер?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

12. "В Node.js устранена опасная уязвимость"  +1 +/
Сообщение от angra (ok) on 20-Окт-13, 21:16 
Попробуй аргументировать почему это плохо, предложи лучшие альтернативы. Заодно посмотри, что делают в других фреймворках, и удивись.


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

14. "В Node.js устранена опасная уязвимость"  +/
Сообщение от piteri (ok) on 21-Окт-13, 21:54 
Это не очевидно?
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "В Node.js устранена опасная уязвимость"  +/
Сообщение от Аноним (??) on 23-Окт-13, 15:27 
В чому проблема із nodejs http модулем? Ви тут що наглухо відбиті уже...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "В Node.js устранена опасная уязвимость"  +/
Сообщение от Аноним (??) on 20-Ноя-14, 01:34 
Некро-камент:
------------------------
ngx_v8 - для Ngnix
mod-v8js - для Apache  

и нафиг выбрасывать голожопые HTTP-сервера на JS
вы бы еще IIS поставили...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "В Node.js устранена опасная уязвимость"  +/
Сообщение от Аноним (??) on 14-Янв-15, 22:10 
Некро-ответ:
------------------

Node - это инфраструктура и огромное сообщество. Указанным модулям даже не снится такое.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру