The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в http2-модуле из состава Node.js [BR]"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в http2-модуле из состава Node.js [BR]"  +/
Сообщение от opennews (??), 31-Июл-21, 09:10 
Разработчики серверной JavaScript-платформы Node.js опубликовали корректирующие выпуски 12.22.4, 14.17.4 и 16.6.0, в которых частично устранена уязвимость (CVE-2021-22930) в модуле http2 (клиент HTTP/2.0), позволяющая инициировать крах процесса или потенциально организовать выполнение своего кода в системе при обращении к подконтрольному злоумышленнику хосту...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55568

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "Уязвимость в http2-модуле из состава Node.js "  +5 +/
Сообщение от Аноним (2), 31-Июл-21, 09:38 
Ага, круто. Исправили, но не до конца, и заодно всем об этом сказали. Кто-то еще держит у себя нодежс?
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в http2-модуле из состава Node.js "  +1 +/
Сообщение от Аноним (4), 31-Июл-21, 09:54 
Умные люди перед node ставят nginx (с включенным http2) и проксируют в node простым http.
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в http2-модуле из состава Node.js "  +1 +/
Сообщение от Онаним (?), 31-Июл-21, 10:47 
Чего проксируют-то? Речь о клиентской либе.
Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от НяшМяш (ok), 31-Июл-21, 15:12 
В ноде в http и http2 находятся как клиент, так и сервер.
Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от Аноним (50), 03-Авг-21, 10:47 
Уязвимость то в клиенте.
Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от НяшМяш (ok), 04-Авг-21, 22:20 
Имеется ввиду, что в ноде библиотеки не разделены на серверную и клиентскую часть. И очень часто уязвимость касается и того, и другого из-за общей кодовой базы.
Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в http2-модуле из состава Node.js "  +10 +/
Сообщение от Аноним (7), 31-Июл-21, 10:48 
Умные люди на nodejs не пишут.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

9. "Уязвимость в http2-модуле из состава Node.js "  +1 +/
Сообщение от Самый Лучший Гусь (?), 31-Июл-21, 11:03 
Умные люди вообще не пишут и не говорят
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в http2-модуле из состава Node.js "  +2 +/
Сообщение от Аноним (24), 31-Июл-21, 15:40 
Если ребёнок с психическим расстроиством не смог заговорить в восемь лет. Не беда. Аноним с опеннета сказал что пацан гений.
Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в http2-модуле из состава Node.js "  +2 +/
Сообщение от ъ (?), 31-Июл-21, 16:18 
т.у. ты не умён.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

30. "Уязвимость в http2-модуле из состава Node.js "  +1 +/
Сообщение от Аноним (30), 31-Июл-21, 23:55 
На чем же они пишут?
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

40. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от Отражение луны (ok), 01-Авг-21, 13:18 
Да, пхп наше все (нет)
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

28. "Уязвимость в http2-модуле из состава Node.js "  –3 +/
Сообщение от Аноним (2), 31-Июл-21, 20:05 
Вообще проблема видимо незамеченной осталась. В браузерах нодажс используется. Если бы вы собирали их из исходников знали бы что без ноды собрать это надо постараться. А потом включаем мозг и догоняем что это уязвимость и браузеров. Клиент и сервер в одной пачке.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

35. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от Аноним (35), 01-Авг-21, 00:59 
В Chromium-браузерах используется Javascript-движок V8, тот же, который в NodeJS. Но тут обратный путь - в NodeJS движок взят из Хромиума.

А что нужно для сборки - это вообще смешной аргумент. Для сборки нужен компилятор C++, это не означает, что компилятор C++ будет в составе браузера.

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от Аноним (38), 01-Авг-21, 07:10 
В мире существуют не только хромовые браузеры. Но да, хорошо если эта подозрительная дыра не затронула браузеры по полной программе. И для Firefox нужен Rust для сборки. Что в Gentoo приблизительно уравнивает первую сборку браузеров по скорости, но потом более легкий Firefox собирается быстрее, потому что Rust обновляют относительно редко.
Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в http2-модуле из состава Node.js "  +1 +/
Сообщение от w3c всё (?), 01-Авг-21, 00:49 
умные люди юзают http1.1 + websocket + ssh
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

39. "Уязвимость в http2-модуле из состава Node.js "  +1 +/
Сообщение от Нанобот (ok), 01-Авг-21, 09:40 
> клиент HTTP/2.0
> Умные люди перед node ставят nginx

😂 И как, помогает?

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

3. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от Аноним (4), 31-Июл-21, 09:48 
А эксплойт то в части на плюсах. Это так мило.
https://github.com/nodejs/node/commit/e47d2d25775336ded70fcf...
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в http2-модуле из состава Node.js "  +6 +/
Сообщение от нах.. (?), 31-Июл-21, 10:59 
И не говори, нодовцы не умеют ни явя ни в плюсы.
Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в http2-модуле из состава Node.js "  –1 +/
Сообщение от Аноним (11), 31-Июл-21, 11:43 
у меня наоборот, могу в ява и плюсы, а жс тяжко даётся.
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в http2-модуле из состава Node.js "  –3 +/
Сообщение от kissmyass (?), 31-Июл-21, 12:03 
потому что, чтобы любить JS надо быть дегенератом

я его тоже ненавижу, но использую - выбора нет

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от Аноним (13), 31-Июл-21, 12:10 
Ждем распространения wasm чтобы фронт можно было писать на человеческих языках
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в http2-модуле из состава Node.js "  –1 +/
Сообщение от kissmyass (?), 31-Июл-21, 13:57 
> Ждем распространения wasm чтобы фронт можно было писать на человеческих языках

ну хз я и так юзаю Bridge.NET, но его прикрыли из-за не сильно большой популярности

но уже есть форк H5 называется, можно писать на C#

минус только что WASM (Blazor), что бридж - это размер файлов рантайма лишний мегабайт или даже два

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от w3c всё (?), 01-Авг-21, 00:52 
сиси-плюсплюс - с емскриптером, go со своим встроенным компилятором - аж бегом
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

41. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от Отражение луны (ok), 01-Авг-21, 13:21 
Чтобы js любить нужно его понимать. Т.е. он не для джунов и не для опеннетовцев
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

42. "Уязвимость в http2-модуле из состава Node.js "  –1 +/
Сообщение от kissmyass (?), 01-Авг-21, 14:36 
> Чтобы js любить нужно его понимать. Т.е. он не для джунов и
> не для опеннетовцев

а что там непонятного, на заре интернета придумали якобы простой и полностью упоротый язык в меру своих знаний, за 20 лет накачали это УГ стероидами

от того что ты понимаешь парадигму JS она не становится конфеткой

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от Отражение луны (ok), 01-Авг-21, 18:49 
Парадигма js с тех пор cильно сместилась.
В общем-то оснвным преимуществом js является асинхронность, отлично поддеживаемая на уровне самого языка. Я в общем-то готов писать на любом языке, имеющем event loop под копотом, потому что это эффективно с точки зрения потребляемых ресурсов. Но вот беда - ни питон, ни джава в полноценную асинхронность так и не смогли. Про .net не скажу, не юзал.
Понимание js в общем-то сейчас и сводится к пониманию ивент лупа, замыканий, и тому, как не засрать память. Разобраться с этим не сложно, но многие вещи так же не лежат на поверхности.
Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от kissmyass (?), 02-Авг-21, 05:58 
> Парадигма js с тех пор cильно сместилась.
> В общем-то оснвным преимуществом js является асинхронность, отлично поддеживаемая на уровне
> самого языка. Я в общем-то готов писать на любом языке, имеющем
> event loop под копотом, потому что это эффективно с точки зрения
> потребляемых ресурсов. Но вот беда - ни питон, ни джава в
> полноценную асинхронность так и не смогли. Про .net не скажу, не
> юзал.
> Понимание js в общем-то сейчас и сводится к пониманию ивент лупа, замыканий,
> и тому, как не засрать память. Разобраться с этим не сложно,
> но многие вещи так же не лежат на поверхности.

отлично поддерживаемый колбек хелом? в дотнете async появился лет на 5 раньше

в джава все сложнее там миллион разных велосипедов: https://www.baeldung.com/java-asynchronous-programming

в дотнет кстати помимо тасков тоже дохера вских пулов, и Parallel'ов, юзай что хочешь

да все эти евент лупы и замыкания нафиг не вперлись, когда тебе нужен предсказумый и легко читаемый код, кому он нахрен нужен ООП на прототипах, динамическая типизация и прочий цирк

если JS такой великолепный (нет), то накой они придумало полу-костыль в виде TS?
накой нам очердной супер UI фреймворк, который вот сейчас точно решит все проблемы (нет)

в общем пчелы не доказывают мухам, что мед лучше чем говно, и я не буду )))
другое дело что не обмазаться не получится, если делаешь клиентскую часть, но это совсем другая история

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в http2-модуле из состава Node.js "  –1 +/
Сообщение от Аноним (4), 02-Авг-21, 09:46 
Давно у нас отрыжка оффтопика стала медом то? Поддержка нормальных ОС только недавно появилась, и то стремно пользоваться. Вся твоя простыня одно большое ненужно.
Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимость в http2-модуле из состава Node.js "  –1 +/
Сообщение от Отражение луны (ok), 04-Авг-21, 10:48 
Колбэкхэл случается когда не умеешь писать код. В целом никаких с ним проблем нет если понимание языка на достаточном уровне.
TS на самом деле не нужен, он привносит больше проблем чем решает.
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

46. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от 1 (??), 02-Авг-21, 10:09 
юзай Erlang Льюк !
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

56. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от Аноним (56), 05-Авг-21, 06:55 
> Erlang
> LL = [X*X || X <- L],

Это что за загадочные закорючки? Не про обфускаторы кода речь вроде шла.

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от макпыф (ok), 31-Июл-21, 15:07 
причем тут java?
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

36. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от Аноним (35), 01-Авг-21, 01:03 
А что не так? В nodejs нет кода на java, значит, разработчики nodejs не умеют в java. Всё логично! :-)
Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от Аноним (4), 02-Авг-21, 16:48 
Так либу писали не они https://nghttp2.org/

Вот и доверяй плюсоватым пограмистам.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

23. "Уязвимость в http2-модуле из состава Node.js "  –1 +/
Сообщение от ХрюХрю (?), 31-Июл-21, 15:28 
вот вот ноду надо на расте переписать...
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

26. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от Аноноша (?), 31-Июл-21, 18:33 
уже есть deno
Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в http2-модуле из состава Node.js "  –1 +/
Сообщение от Онаним (?), 31-Июл-21, 10:47 
Плять.
Хорошо что я это счастье в сеть пропускаю по-минимуму, ни одного критичного места на нём ни у одного смузихлёба так и нет.
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от Аноним (10), 31-Июл-21, 11:23 
>JavaScript-платформы Node.js
>Проблема вызвана обращением к уже освобождённой области памяти

Как так-то?! JavaScript это же безопасТная работа с памятью!

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от Аноним (14), 31-Июл-21, 12:16 
Там, наверное, модуль на С.
Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в http2-модуле из состава Node.js "  –1 +/
Сообщение от Аноним (15), 31-Июл-21, 12:28 
Анон, ну надо же читать новость перед написание коммента!
Там же ссылка на исправление есть https://github.com/nodejs/node/commit/b263f2585ab53f56e0e22b... - node_http2.cc
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

53. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от Аноним (53), 03-Авг-21, 18:57 
Естественно. Если обезьянкам или растоманам доверить важный код то так и выйдет.
Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от another_one (ok), 07-Авг-21, 15:44 
Согласен, си-прогеры те еще обезьянки - https://nghttp2.org/
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от Аноним (16), 31-Июл-21, 12:28 
> Уязвимость в http2-модуле из состава Node.js

Ну что сказать... http2... Node.js... Уязвимость :)

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от Аноним (17), 31-Июл-21, 12:36 
Ночь. Улица. Фонарь. Аптека
Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в http2-модуле из состава Node.js "  +2 +/
Сообщение от десу всё (?), 01-Авг-21, 00:55 
Стол. Компьютер. Аниме. Десу-Десу.
Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в http2-модуле из состава Node.js "  +1 +/
Сообщение от Аноним (4), 02-Авг-21, 16:42 
Бака.
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в http2-модуле из состава Node.js "  –1 +/
Сообщение от Аноним (4), 31-Июл-21, 14:26 
> Ну что сказать... http2... Node.js... Уязвимость :)

Ты пропусти самое главное: http2... Node.js... C++... Уязвимость :)

Как говорится, из сказки дырявый язык не выкинешь...

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

21. "Уязвимость в http2-модуле из состава Node.js "  +1 +/
Сообщение от НяшМяш (ok), 31-Июл-21, 15:11 
Автор, теперь ты обязан каждую уязвимость здесь постить ))


Например, эту "пофиксили" в 14.17.4.
В 14.17.2 пофиксили ещё две CVE (инсталлятор на винде и OOB в DNS lookup).
В 14.16.1 пофиксили 3 CVE (две OpenSSL и одну с npm).

Только на текущем LTS тысячи их.

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от Аноним (27), 31-Июл-21, 19:24 
Не вижу комента, что надо было писать на Rust %)
Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от Аноним (29), 31-Июл-21, 21:20 
Не на Rust, а на TypeScript.
Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в http2-модуле из состава Node.js "  –1 +/
Сообщение от Аноним (30), 31-Июл-21, 23:57 
Было выше. https://deno.land/
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

37. "Уязвимость в http2-модуле из состава Node.js "  +3 +/
Сообщение от Аноним (35), 01-Авг-21, 01:05 
http/2 настолько переусложненный протокол, что той или иной серьезности уязвимости в серверах и клиентах, написанных на "опасных" языках, были вообще в каждой реализации. А где не были, там их стоит поискать :-)
Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от Аноним (53), 03-Авг-21, 18:02 
Ой, языковед безопастных языков.

в Node.js тоже нет работы с памятью. и что?

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от Аноним (4), 02-Авг-21, 16:52 
Баг то не в nodejs, а в https://nghttp2.org/
Это не одно и тоже, а внешняя зависимость (как и openSSL).
Автор новости, похайповал?
Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в http2-модуле из состава Node.js "  –1 +/
Сообщение от Аноним (53), 03-Авг-21, 15:54 
> Уязвимость в http2-модуле из состава Node.js
> Разработчики серверной JavaScript-платформы Node.js

О да, разработчики. Как на расте

Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимость в http2-модуле из состава Node.js "  +/
Сообщение от another_one (ok), 07-Авг-21, 15:46 
Чистокровные сишники же накосячили, впрочем, как всегда -  https://nghttp2.org/
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру