В очередных обновлениях серверной JavaScript-платформы Node.js 0.10.21 (http://blog.nodejs.org/2013/10/18/node-v0-10-21-stable/) и 0.8.26 (http://blog.nodejs.org/2013/10/18/node-v0-8-26-maintenance/) устранена опасная уязвимость, затрагивающая реализацию встроенного http-сервера. Всем пользователям Node.js рекомендуется как можно скорее установить обновление. В анонсе не сообщаются детали о характере уязвимости, но судя по внесённым изменениям (https://github.com/joyent/node/commit/085dd30e93da67362f044a...) проблема может привести (https://news.ycombinator.com/item?id=6574624) к переполнению буфера через отправку определённым образом сформированного потока http pipeline-запросов. Как минимум указанная уязвимость даёт возможность легко вызвать удалённый отказ в обслуживании (прототип эксплоита (https://github.com/joyent/node/blob/085dd30e93da67362f044ad1...)).URL: http://blog.nodejs.org/2013/10/18/node-v0-10-21-stable/
Новость: https://www.opennet.ru/opennews/art.shtml?num=38207
> может привести к переполнению буфераПереполнение буфера (Buffer Overflow) — явление, возникающее, когда компьютерная программа записывает данные за пределами выделенного в памяти буфера. (wiki)
---
а в этом случае я так понимаю просто DDoS
Ну да. Так и написано
> Как минимум указанная уязвимость даёт возможность легко вызвать удалённый отказ в обслуживании
> а в этом случае я так понимаю просто DDoSНе DDoS, а DoS. Без "distributed." Путём переполнения буфера, кладётся серверный процесс. Обслуживание клиентов прекращается вплоть до перезапуска процесса.
Потенциально такие уязвимости всегда оцениваются как RCE (remote code execution), но т.к на практике его удаётся достичь далеко не всегда, то и написали DoS - который можно вызвать гарантированно.
Встроенный веб-сервер в продакшене - отличительный костыль node.js
Это не костыль, с этого всё и началось.
Всё началось с того, что не смогли установить Nginx? ))
Типа того.
Сделать из v8 модуль к apache или nginx они не осилили и сделали шиворот-навыворот.
Зачем делать заведомо неправильную вещь? Практика давно показала, что mod_ЯП куда хуже, чем отдельный процесс ЯП.
Чья практика? Чем хуже? Неужели хуже чем встроенный в ЯП сервер?
Попробуй аргументировать почему это плохо, предложи лучшие альтернативы. Заодно посмотри, что делают в других фреймворках, и удивись.
Это не очевидно?
В чому проблема із nodejs http модулем? Ви тут що наглухо відбиті уже...
Некро-камент:
------------------------
ngx_v8 - для Ngnix
mod-v8js - для Apacheи нафиг выбрасывать голожопые HTTP-сервера на JS
вы бы еще IIS поставили...
Некро-ответ:
------------------Node - это инфраструктура и огромное сообщество. Указанным модулям даже не снится такое.