Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в NPM, приводящая к перезаписи файлов в системе"	+/–
Сообщение от opennews (??), 09-Сен-21, 10:11
Компания GitHub раскрыла подробности о семи уязвимостях в пакетах tar и @npmcli/arborist, предоставляющих функции для работы с tar-архивами и расчета дерева зависимостей в Node.js. Уязвимости позволяют при распаковке специально оформленного архива перезаписать файлы за пределами корневого каталога, в который осуществляется распаковка, насколько это позволяют текущие права доступа. Проблемы дают возможность организовать выполнение произвольного кода в системе, например, через добавление команд в ~/.bashrc или ~/.profile при выполнении операции непривилегированным пользователем или через замену системных файлов при запуске с правами root... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55767
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 09-Сен-21, 10:11	+24 +/–
остановите, нормальному программисту надо выйти
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15

2. Сообщение от ___ (??), 09-Сен-21, 10:13	+3 +/–
где коммент что никогда такого не было?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #5, #7

3. Сообщение от Sw00p aka Jerom (?), 09-Сен-21, 10:16	+2 +/–
петросяны в школе :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #9

4. Сообщение от Аноним (5), 09-Сен-21, 10:19	+1 +/–
Классика
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10

5. Сообщение от Аноним (5), 09-Сен-21, 10:19	+2 +/–
Там же где и комментарий про раст. Тут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #6, #8

6. Сообщение от Аноним (6), 09-Сен-21, 10:23	+1 +/–
тут — это вам не там!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

7. Сообщение от Жироватт (ok), 09-Сен-21, 10:23	+1 +/–
Это настолько часто бывает, что и вот, опять. Спасибо за напоминание про дежурный комментарий. Максу надо сделать автодобавление его по кейвордам "NPM" + "уязвимость"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #12, #13

8. Сообщение от Жорш (?), 09-Сен-21, 10:24	+/–
> Уязвимости позволяют при распаковке специально оформленного архива перезаписать файлы за пределами корневого каталога, в который осуществляется распаковка, насколько это позволяют текущие права доступа. А на Rust такого бы не было!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #11

9. Сообщение от Аноним (1), 09-Сен-21, 10:30	+/–
если Ваганыча нету, то ты Степаненко и его подменяешь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

10. Сообщение от Аноним (1), 09-Сен-21, 10:31	+2 +/–
но это знать не надо
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

11. Сообщение от Аноним (5), 09-Сен-21, 10:39	+/–
Конечно раст это же +146% к безопасности. На нем можно даже не писать, можно просто верить в безопасность раста.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

12. Сообщение от Аноним (6), 09-Сен-21, 10:40	+/–
> по кейвордам "NPM" + "уязвимость" достаточно просто "уязвимость"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

13. Сообщение от Аноним (5), 09-Сен-21, 10:40	+1 +/–
Комментарии уже давно можно генерировать нейросетью.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

15. Сообщение от Аноним (15), 09-Сен-21, 10:59	–18 +/–
Это чем ты занимаешься нормальный?) Нейросетки? Другие алгоритмы машинного обучения? Делаешь комиты в ядро linux? Алгоритмы распознавания образов? Пишешь игровые движки? Движки физ. процессов? Мат. моделирование? Программы для космических спутников? Или может прошивки для крутых устройств пишешь на ассемблере и C++?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #18, #46, #47

16. Сообщение от безответственность не всё (?), 09-Сен-21, 11:02	+1 +/–
то ли ещё будет. и в хвалёном rust такое будет и в Go и в питонах. всё от моды на безответственность!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28, #53

17. Сообщение от pashev.me (?), 09-Сен-21, 11:26	–1 +/–
Негодяи.
Ответить | Правка | Наверх | Cообщить модератору

18. Сообщение от pashev.me (?), 09-Сен-21, 11:28	+2 +/–
Фортран. Лучший язык, в том числе для обучения. Простой, не не примитивный. Минимальная программа - end. Батарейки в комплекте. Компилируемый. Близкий к железу. Но можно и на кластерах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #19, #22, #30, #37, #50, #59

19. Сообщение от Xasd7 (?), 09-Сен-21, 11:43	+2 +/–
> Батарейки в комплекте. точно? :-D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #20, #26

20. Сообщение от pashev.me (?), 09-Сен-21, 11:45	–1 +/–
Точно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

22. Сообщение от Anonymoustus (ok), 09-Сен-21, 11:50	+/–
Для обучения Фортран вряд ли стоит называть лучшим. Или придётся объяснять учащимся всю предысторию, включая перфокарты и синтаксис старого Фортрана, иначе не будет понимания о преемственности поколений языка и оправданности его современного и дальнейшего применения. А ведь маленькие будущие погромизды, глядя на различия Фортранов, этими вопросами неминуемо озаботятся и зададут их вам. Паскаль был и есть лучшим языком для обучения. И «обобщённый» Бейсик я бы поставил на второе место по этому критерию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #55

23. Сообщение от PetrG (ok), 09-Сен-21, 11:56	+1 +/–
Проработал с этим чудом техники больше года. Это как пасти хорошо накормленых тараканов. Только сделал npm audit fix, через неделю опять развлечений насыпало. Даже зависимости разрешать не умеет.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24

24. Сообщение от Аноним (24), 09-Сен-21, 12:04	–3 +/–
Представил себе зубастые пасти тараканов, спасибо поблевал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #25

25. Сообщение от And (??), 09-Сен-21, 12:22	+/–
У нас ведущий техническую часть разработки на всю сотню кодеров разок в неделю постит мемы. Чтобы не забывали и не привыкали к недостаткам JS. Без этого было бы экспрессивно абсцентно плохо. В общем, связанное с JS означает переусложнение в разработке. Приходится управлять ненужными обстоятельтвами из-за недостатков инструмента.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

26. Сообщение от lockywolf (ok), 09-Сен-21, 12:28	+2 +/–
Врёт как дышит. В комплекте там только многопоточность и функция Бесселя хотя если аноним считает бомбы, это, конечно, уже немало
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #38

27. Сообщение от lockywolf (ok), 09-Сен-21, 12:34	–5 +/–
Какая разница? Я ещё ни одной программы на жс запустить не смог, окромя как в доккере. А в доккере это не важно.
Ответить | Правка | Наверх | Cообщить модератору

28. Сообщение от Аноним (28), 09-Сен-21, 12:37	+1 +/–
В Go, по факту, есть проверки, а если нет по какой-то причине, то там написано в комменте к функции (я о встроенных пакетах). А если человек разбирается только в URL, а в механизмах работы с путями ФС не шарит, то язык уже не при чем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #33

29. Сообщение от JSOneLove (?), 09-Сен-21, 12:40	+2 +/–
ну ладно, вот вам патч: if (leftstr(path, 4) == '////') path = rightstr(path, -4); if (leftstr(path, 3) == '///') path = rightstr(path, -3); if (leftstr(path, 2) == '//') path = rightstr(path, -2); if (leftstr(path, 1) == '/') path = rightstr(path, -1);
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #36, #39

30. Сообщение от Аноним (30), 09-Сен-21, 12:59	+1 +/–
> не не примитивный двойное отрицание... Значит примитивный?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

31. Сообщение от Аноним (31), 09-Сен-21, 13:25	+3 +/–
Ты опоздал, они уже запатчили - https://www.opennet.ru/opennews/pics_base/0_1553748508.jpg
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

32. Сообщение от Ананоним (?), 09-Сен-21, 13:36	–2 +/–
Смех Жириновского уже был? Чё не смеётесь, не смешно? Этож piece of crap самынастоящы.
Ответить | Правка | Наверх | Cообщить модератору

33. Сообщение от Аноним (5), 09-Сен-21, 13:37	–1 +/–
В Go поступили проще сделали управление зависимостми неудобным. Это предотвращает бесконечные цепочки зависимостей. Безопаснее всего работа с зависимостями в C там с зависимостями просто никак не работают. Есть одна, две любы, которые все доят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #35, #43

34. Сообщение от Аноним (34), 09-Сен-21, 13:37	+/–
Про tar в теме новости не указали.
Ответить | Правка | Наверх | Cообщить модератору

35. Сообщение от Аноним (5), 09-Сен-21, 13:37	–1 +/–
*либы, хотя любы даже забавнее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

36. Сообщение от commiethebeastie (ok), 09-Сен-21, 14:35	+/–
Что за чинкод?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #41

37. Сообщение от Брат Анон (ok), 09-Сен-21, 14:43	+1 +/–
> Лучший язык, в том числе для обучения. Изыди, сотона! Фортран-77, сгинь нечистый!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

38. Сообщение от Аноним (38), 09-Сен-21, 14:55	–1 +/–
В С++ тоже есть функция Бесселя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #52

39. Сообщение от OpenEcho (?), 09-Сен-21, 18:08	+/–
s~^\s*(\/|\\)+~~g
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

40. Сообщение от кек (?), 09-Сен-21, 18:35	–1 +/–
Надо было ставить rar!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #42

41. Сообщение от Аноним (28), 09-Сен-21, 19:53	+/–
индиан вообще-то
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #51

42. Сообщение от Аноним (28), 09-Сен-21, 19:55	+/–
и паковать-распаковывать прямо в облаке владельца архиватора, вообще же достаточно JSON-чиками обменяться
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #44

43. Сообщение от пох. (?), 09-Сен-21, 19:57	–2 +/–
вы услышали отровения человека, ни разу не пытавшегося собрать какой-нибудь cmake. Две либы, ага, щас. Весь интернет не хочешь?! Просто управление зависимостями обычно переложено на собирателей дистрибутивов. Которые хотя бы стараются иметь их ограниченное количество и при этом одинаковых для всех собираемых пакетов, а не каждый со своей уникальной версией одного и того же. Генитальным разработчикам такое ограничение полета их мыслей, конечно же, претит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

44. Сообщение от кек (?), 09-Сен-21, 22:56	–1 +/–
Глупость какая, он есть в репах
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #48

45. Сообщение от Онаним (?), 10-Сен-21, 00:07	+/–
Хосспаде, што, о5 dependency chaos поимели? Ну и фиг с ним.
Ответить | Правка | Наверх | Cообщить модератору

46. Сообщение от Онаним (?), 10-Сен-21, 00:08	+/–
Биллинга мобильной телефонии хватит? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

47. Сообщение от Аноним (47), 10-Сен-21, 08:04	+/–
нормальный погромист это тот кто не ищет на реализацию микрометода готовый микропакет с единственной функцией, тот кто не "бампает" версию зависимостей не каждый визг. чтобы вам было понятно в нодежс очень просто любому популярному пакету заговнокодить внутрь себя уязвимости или бекдоры и всем будет пофиг ибо никто не читает изменения самого кода.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

48. Сообщение от Аноним (48), 10-Сен-21, 10:47	+/–
это ирония о вебтрендах
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

49. Сообщение от Какаянахренразница (ok), 10-Сен-21, 16:31	+/–
Отродясь такого не бывало, и опять то же самое ©
Ответить | Правка | Наверх | Cообщить модератору

50. Сообщение от Тот_Самый_Анонимус (?), 11-Сен-21, 20:53	+/–
Отвечу трусливому Anonymoustus'у под вашим комментом, ибо он запретил ответы ему. Паскаль — кал для обучения. Операторные скобки, выглядящие как операторы? — Это паскаль! Логические операции в виде слов? — Это паскаль! (интересно, а почему они тогда знаки + и - ге заменили словами plus и minus?). Кастрированный for?  Снова паскаль! Ориентированность на систаксис английского языка и грамматики с маразматичным запоминанием, надо ли ставить точку с запятой пере else? — Паскаль, кто ж ещё? Шикарный язык, что ещё сказать...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #56

51. Сообщение от sweetlao (?), 12-Сен-21, 12:38	+/–
мышееду неприятно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

52. Сообщение от заминированный тапок (ok), 13-Сен-21, 10:17	+/–
и многопоточность
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

53. Сообщение от anonymous (??), 13-Сен-21, 11:48	+/–
Каким образом "такое будет" в Go?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

54. Сообщение от Аноним (54), 13-Сен-21, 16:14	+/–
Да вы что? А какже безопастная память?
Ответить | Правка | Наверх | Cообщить модератору

55. Сообщение от anonynous (?), 13-Сен-21, 22:59	+/–
паскаль язык который можно использовать только для обучения. то есть использовать его в реальности смысла 0. лучше уж фортран. он точен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #58

56. Сообщение от anonynous (?), 13-Сен-21, 23:01	+/–
а от синтаксиса ссылок плакать хочется. и повеситься. и бегин енд по сравнению с ним - детский лепет. крышечки ... <censored>...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #57

57. Сообщение от anonynous (?), 13-Сен-21, 23:03	+/–
уж лучше lisp для обучения он проще и _логичнее_ !
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

58. Сообщение от Anonymoustus (ok), 13-Сен-21, 23:15	+/–
Я себе недавно написал на Паскале ненужную, как мне думалось, программу, чтобы просто вспомнить годы молодые и размять мозги, но которая внезапно не раз и не два оказалась нужной и я ею пользуюсь время от времени. На Паскале очень хорошо и удобно писать хорошо структурно оформленные, наглядные и понятные программы. Паскаль хорош и тем, что понятен не только, пока пишешь, но и когда-нибудь в будущем, когда читаешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

59. Сообщение от Pilat66 (?), 16-Сен-21, 17:50	+/–
Не знаю как сейчас, а лет тридцать назад это был чуть ли не единственный язык с нормальными операциями над строками. На нём написать интерпретатор было просто удовольствие после C.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема