URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 92254
[ Назад ]

Исходное сообщение
"В Node.js устранена опасная уязвимость"

Отправлено opennews , 19-Окт-13 21:59 
В очередных обновлениях серверной JavaScript-платформы Node.js 0.10.21 (http://blog.nodejs.org/2013/10/18/node-v0-10-21-stable/) и 0.8.26 (http://blog.nodejs.org/2013/10/18/node-v0-8-26-maintenance/) устранена опасная уязвимость, затрагивающая реализацию встроенного http-сервера. Всем пользователям  Node.js рекомендуется как можно скорее установить обновление. В анонсе не сообщаются детали о характере уязвимости, но судя по внесённым изменениям (https://github.com/joyent/node/commit/085dd30e93da67362f044a...) проблема может привести (https://news.ycombinator.com/item?id=6574624) к переполнению буфера через отправку определённым образом сформированного потока http pipeline-запросов. Как минимум указанная уязвимость даёт возможность легко вызвать удалённый отказ в обслуживании (прототип эксплоита (https://github.com/joyent/node/blob/085dd30e93da67362f044ad1...)).

URL: http://blog.nodejs.org/2013/10/18/node-v0-10-21-stable/
Новость: https://www.opennet.ru/opennews/art.shtml?num=38207


Содержание

Сообщения в этом обсуждении
"В Node.js устранена опасная уязвимость"
Отправлено Пиу , 19-Окт-13 22:08 
> может привести к переполнению буфера

Переполнение буфера (Buffer Overflow) — явление, возникающее, когда компьютерная программа записывает данные за пределами выделенного в памяти буфера. (wiki)

---

а в этом случае я так понимаю просто DDoS


"В Node.js устранена опасная уязвимость"
Отправлено оНаним , 19-Окт-13 22:40 
Ну да. Так и написано
> Как минимум указанная уязвимость даёт возможность легко вызвать удалённый отказ в обслуживании

"В Node.js устранена опасная уязвимость"
Отправлено Ordu , 19-Окт-13 23:10 
> а в этом случае я так понимаю просто DDoS

Не DDoS, а DoS. Без "distributed." Путём переполнения буфера, кладётся серверный процесс. Обслуживание клиентов прекращается вплоть до перезапуска процесса.


"В Node.js устранена опасная уязвимость"
Отправлено Reinar , 20-Окт-13 10:38 
Потенциально такие уязвимости всегда оцениваются как RCE (remote code execution), но т.к на практике его удаётся достичь далеко не всегда, то и написали DoS - который можно вызвать гарантированно.

"В Node.js устранена опасная уязвимость"
Отправлено Аноним , 20-Окт-13 14:12 
Встроенный веб-сервер в продакшене - отличительный костыль node.js

"В Node.js устранена опасная уязвимость"
Отправлено piteri , 20-Окт-13 15:21 
Это не костыль, с этого всё и началось.

"В Node.js устранена опасная уязвимость"
Отправлено Омномом , 20-Окт-13 16:43 
Всё началось с того, что не смогли установить Nginx? ))

"В Node.js устранена опасная уязвимость"
Отправлено piteri , 20-Окт-13 18:48 
Типа того.
Сделать из v8 модуль к apache или nginx они не осилили и сделали шиворот-навыворот.

"В Node.js устранена опасная уязвимость"
Отправлено angra , 20-Окт-13 21:14 
Зачем делать заведомо неправильную вещь? Практика давно показала, что mod_ЯП куда хуже, чем отдельный процесс ЯП.

"В Node.js устранена опасная уязвимость"
Отправлено piteri , 21-Окт-13 11:12 
Чья практика? Чем хуже? Неужели хуже чем встроенный в ЯП сервер?

"В Node.js устранена опасная уязвимость"
Отправлено angra , 20-Окт-13 21:16 
Попробуй аргументировать почему это плохо, предложи лучшие альтернативы. Заодно посмотри, что делают в других фреймворках, и удивись.



"В Node.js устранена опасная уязвимость"
Отправлено piteri , 21-Окт-13 21:54 
Это не очевидно?

"В Node.js устранена опасная уязвимость"
Отправлено Аноним , 23-Окт-13 15:27 
В чому проблема із nodejs http модулем? Ви тут що наглухо відбиті уже...

"В Node.js устранена опасная уязвимость"
Отправлено Аноним , 20-Ноя-14 01:34 
Некро-камент:
------------------------
ngx_v8 - для Ngnix
mod-v8js - для Apache  

и нафиг выбрасывать голожопые HTTP-сервера на JS
вы бы еще IIS поставили...


"В Node.js устранена опасная уязвимость"
Отправлено Аноним , 14-Янв-15 22:10 
Некро-ответ:
------------------

Node - это инфраструктура и огромное сообщество. Указанным модулям даже не снится такое.