В Python-пакете Js2Py, который был загружен в прошлом месяце 1.2 млн раз, выявлена уязвимость (CVE-2024-28397), позволяющая обойти sandbox-изоляцию и выполнить код в системе при обработке специально оформленных данных на JavaScript. Уязвимость может использоваться для атаки на программы, применяющие Js2Py для выполнения JavaScript-кода. Исправление пока доступно только в виде патча. Для проверки возможности атаки подготовлен прототип эксплоита...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61421
зато удобный сервис юзали
> зато удобный сервис юзалиНу это смотря кому - удобный. Хотя такая забота о атакующем это похвально, конечно. Вот все бы так!
Всё для наших китайских друзей.
ЖС с питоном - это и есть то самое "что-то с чем-то".
>ЖС с питономБуквально - имела жаба питона ©
> ЖС с питоном - это и есть то самое "что-то с чем-то".Жаба, хоть и скриптовая, наконец таки слилась в экстазе с гадюкой...
> ЖС с питоном - это и есть то самое "что-то с чем-то".Увидел знакомые слова - и обязательно надо что-то ляпнуть, да?
>> ЖС с питоном - это и есть то самое "что-то с чем-то".
> Увидел знакомые слова - и обязательно надо что-то ляпнуть, да?Ты будто первый раз на опеннете.
Сейчас 2024 год кто не в курсе. Запускать что то вне контейнера в вируалке уже давно моветон. Кто так не делает тот сам Буратино. И это без относительно специально добавили уязвимость или нет. Вы же качаете васянопакеты из ненадёжного источника. Там прицепом ещё парочка таких же уязвимостей прилетает о которых ещё никто не знает.
> вне контейнера в вируалке уже давно моветон.Хорошая опечатка, прям по фрейду. Как там вирусы в вируалке? Множатся? Не обижаются на упаковку в контейнеры? :)
> Вы же качаете васянопакеты из ненадёжного источника.
Не, это вы качаете какой-то треш из своих pipi или что там у вас еще за карго(-культы). А я - только пакеты от майнтайнеров, с проверкой интегрити что это и правда - от них.
Подскажите, пожалуйста, для запуска этого, но чтобы ещё в PHP обернуть, а потом в Perl, какая серия IBM Z подойдёт, у меня простой сайт одностраничник?
> Примечательно, что изменение с устранением уязвимости было отправлено в проект Js2Py первого марта, но за три с половиной месяца так и не было принято.Судя по истории изменений — проект заброшен.
Последний коммит был в ноябре 2022-го.
https://github.com/PiotrDabkowski/Js2Py/branches/all
С самого начала было известно что любые песочницы фундаментально дырявы (см. невычислимые функции и проблему останова). А альтернатива только одна - не пользоваться вредоносными сайтами: ютьюбом и любой малварью с клаудфларью. Собсвенно, именно за это (чтобы мы их оставили в покое) эти сайты и борются. С радостью удовлетворим их пожелание. Весь контент оттуда сначала только скопируем, а потом прикопаем.
https://github.com/ytdl-org/youtube-dl/blob/master/youtube_d...
> С радостью удовлетворим их пожелание. Весь контент оттуда сначала только скопируемА копировалка не отвалится от усилий?
Тут же надо не только грабануть, но и награбленное удержать.
Не думаю что Сообщества-пиратов-и-какиров хватит подкроватных серваков на весь ютуб.
А если пойдут в датацентр с ворованным, то может и маски шоу случиться.
Ну как по телевизору тутеритунба-тутеритунда> а потом прикопаем.
Ахахаха!
«Ай, Моська! знать она сильна,
Что лает на Слона!»