The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +/
Сообщение от opennews (??), 09-Сен-21, 10:11 
Компания GitHub раскрыла подробности о семи уязвимостях в пакетах tar и @npmcli/arborist, предоставляющих функции для работы с tar-архивами и расчета дерева зависимостей в Node.js. Уязвимости позволяют при распаковке специально оформленного архива перезаписать файлы за пределами корневого каталога, в который осуществляется распаковка, насколько это позволяют текущие права доступа. Проблемы дают возможность организовать выполнение произвольного кода в системе, например, через добавление команд в ~/.bashrc или ~/.profile при выполнении операции непривилегированным пользователем или через замену системных файлов при запуске с правами root...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55767

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +24 +/
Сообщение от Аноним (1), 09-Сен-21, 10:11 
остановите, нормальному программисту надо выйти
Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  –18 +/
Сообщение от Аноним (15), 09-Сен-21, 10:59 
Это чем ты занимаешься нормальный?) Нейросетки? Другие алгоритмы машинного обучения? Делаешь комиты в ядро linux? Алгоритмы распознавания образов? Пишешь игровые движки? Движки физ. процессов? Мат. моделирование? Программы для космических спутников? Или может прошивки для крутых устройств пишешь на ассемблере и C++?
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +2 +/
Сообщение от pashev.me (?), 09-Сен-21, 11:28 
Фортран.

Лучший язык, в том числе для обучения.

Простой, не не примитивный. Минимальная программа - end.
Батарейки в комплекте.

Компилируемый. Близкий к железу. Но можно и на кластерах.

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +2 +/
Сообщение от Xasd7 (?), 09-Сен-21, 11:43 
> Батарейки в комплекте.

точно? :-D

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  –1 +/
Сообщение от pashev.me (?), 09-Сен-21, 11:45 
Точно.
Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +2 +/
Сообщение от lockywolf (ok), 09-Сен-21, 12:28 
Врёт как дышит. В комплекте там только многопоточность и функция Бесселя

хотя если аноним считает бомбы, это, конечно, уже немало

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

38. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  –1 +/
Сообщение от Аноним (38), 09-Сен-21, 14:55 
В С++ тоже есть функция Бесселя.
Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +/
Сообщение от заминированный тапок (ok), 13-Сен-21, 10:17 
и многопоточность
Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +/
Сообщение от Anonymoustus (ok), 09-Сен-21, 11:50 
Для обучения Фортран вряд ли стоит называть лучшим. Или придётся объяснять учащимся всю предысторию, включая перфокарты и синтаксис старого Фортрана, иначе не будет понимания о преемственности поколений языка и оправданности его современного и дальнейшего применения. А ведь маленькие будущие погромизды, глядя на различия Фортранов, этими вопросами неминуемо озаботятся и зададут их вам.

Паскаль был и есть лучшим языком для обучения. И «обобщённый» Бейсик я бы поставил на второе место по этому критерию.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

55. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +/
Сообщение от anonynous (?), 13-Сен-21, 22:59 
паскаль язык который можно использовать только для обучения.
то есть использовать его в реальности смысла 0. лучше уж фортран. он точен.
Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +/
Сообщение от Anonymoustus (ok), 13-Сен-21, 23:15 
Я себе недавно написал на Паскале ненужную, как мне думалось, программу, чтобы просто вспомнить годы молодые и размять мозги, но которая внезапно не раз и не два оказалась нужной и я ею пользуюсь время от времени.

На Паскале очень хорошо и удобно писать хорошо структурно оформленные, наглядные и понятные программы.

Паскаль хорош и тем, что понятен не только, пока пишешь, но и когда-нибудь в будущем, когда читаешь.

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +1 +/
Сообщение от Аноним (30), 09-Сен-21, 12:59 
> не не примитивный

двойное отрицание... Значит примитивный?

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

37. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +1 +/
Сообщение от Брат Анон (ok), 09-Сен-21, 14:43 
> Лучший язык, в том числе для обучения.

Изыди, сотона!

Фортран-77, сгинь нечистый!

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

50. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +/
Сообщение от Тот_Самый_Анонимус (?), 11-Сен-21, 20:53 
Отвечу трусливому Anonymoustus'у под вашим комментом, ибо он запретил ответы ему.
Паскаль — кал для обучения.
Операторные скобки, выглядящие как операторы? — Это паскаль!
Логические операции в виде слов? — Это паскаль! (интересно, а почему они тогда знаки + и - ге заменили словами plus и minus?).
Кастрированный for?  Снова паскаль!
Ориентированность на систаксис английского языка и грамматики с маразматичным запоминанием, надо ли ставить точку с запятой пере else? — Паскаль, кто ж ещё?

Шикарный язык, что ещё сказать...

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

56. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +/
Сообщение от anonynous (?), 13-Сен-21, 23:01 
а от синтаксиса ссылок плакать хочется.
и повеситься.
и бегин енд по сравнению с ним - детский лепет.
крышечки ... <censored>...
Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +/
Сообщение от anonynous (?), 13-Сен-21, 23:03 
уж лучше lisp для обучения
он проще и _логичнее_ !
Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +/
Сообщение от Pilat66 (?), 16-Сен-21, 17:50 
Не знаю как сейчас, а лет тридцать назад это был чуть ли не единственный язык с нормальными операциями над строками. На нём написать интерпретатор было просто удовольствие после C.
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

46. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +/
Сообщение от Онаним (?), 10-Сен-21, 00:08 
Биллинга мобильной телефонии хватит? :)
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

47. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +/
Сообщение от Аноним (47), 10-Сен-21, 08:04 
нормальный погромист это тот кто не ищет на реализацию микрометода готовый микропакет с единственной функцией, тот кто не "бампает" версию зависимостей не каждый визг.

чтобы вам было понятно в нодежс очень просто любому популярному пакету заговнокодить внутрь себя уязвимости или бекдоры и всем будет пофиг ибо никто не читает изменения самого кода.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

2. Скрыто модератором  +3 +/
Сообщение от ___ (??), 09-Сен-21, 10:13 
Ответить | Правка | Наверх | Cообщить модератору

3. Скрыто модератором  +2 +/
Сообщение от Sw00p aka Jerom (?), 09-Сен-21, 10:16 
Ответить | Правка | Наверх | Cообщить модератору

9. Скрыто модератором  +/
Сообщение от Аноним (1), 09-Сен-21, 10:30 
Ответить | Правка | Наверх | Cообщить модератору

5. Скрыто модератором  +2 +/
Сообщение от Аноним (5), 09-Сен-21, 10:19 
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

6. Скрыто модератором  +1 +/
Сообщение от Аноним (6), 09-Сен-21, 10:23 
Ответить | Правка | Наверх | Cообщить модератору

8. Скрыто модератором  +/
Сообщение от Жорш (?), 09-Сен-21, 10:24 
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

11. Скрыто модератором  +/
Сообщение от Аноним (5), 09-Сен-21, 10:39 
Ответить | Правка | Наверх | Cообщить модератору

7. Скрыто модератором  +1 +/
Сообщение от Жироватт (ok), 09-Сен-21, 10:23 
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

12. Скрыто модератором  +/
Сообщение от Аноним (6), 09-Сен-21, 10:40 
Ответить | Правка | Наверх | Cообщить модератору

13. Скрыто модератором  +1 +/
Сообщение от Аноним (5), 09-Сен-21, 10:40 
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

4. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +1 +/
Сообщение от Аноним (5), 09-Сен-21, 10:19 
Классика
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +2 +/
Сообщение от Аноним (1), 09-Сен-21, 10:31 
но это знать не надо
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +1 +/
Сообщение от безответственность не всё (?), 09-Сен-21, 11:02 
то ли ещё будет. и в хвалёном rust такое будет и в Go и в питонах.

всё от моды на безответственность!

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +1 +/
Сообщение от Аноним (28), 09-Сен-21, 12:37 
В Go, по факту, есть проверки, а если нет по какой-то причине, то там написано в комменте к функции (я о встроенных пакетах).
А если человек разбирается только в URL, а в механизмах работы с путями ФС не шарит, то язык уже не при чем.
Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  –1 +/
Сообщение от Аноним (5), 09-Сен-21, 13:37 
В Go поступили проще сделали управление зависимостми неудобным. Это предотвращает бесконечные цепочки зависимостей. Безопаснее всего работа с зависимостями в C там с зависимостями просто никак не работают. Есть одна, две любы, которые все доят.
Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  –1 +/
Сообщение от Аноним (5), 09-Сен-21, 13:37 
*либы, хотя любы даже забавнее.
Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  –2 +/
Сообщение от пох. (?), 09-Сен-21, 19:57 
вы услышали отровения человека, ни разу не пытавшегося собрать какой-нибудь cmake.

Две либы, ага, щас. Весь интернет не хочешь?!

Просто управление зависимостями обычно переложено на собирателей дистрибутивов. Которые хотя бы стараются иметь их ограниченное количество и при этом одинаковых для всех собираемых пакетов, а не каждый со своей уникальной версией одного и того же.

Генитальным разработчикам такое ограничение полета их мыслей, конечно же, претит.

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

53. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +/
Сообщение от anonymous (??), 13-Сен-21, 11:48 
Каким образом "такое будет" в Go?
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

17. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  –1 +/
Сообщение от pashev.me (?), 09-Сен-21, 11:26 
Негодяи.
Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +1 +/
Сообщение от PetrG (ok), 09-Сен-21, 11:56 
Проработал с этим чудом техники больше года. Это как пасти хорошо накормленых тараканов. Только сделал npm audit fix, через неделю опять развлечений насыпало. Даже зависимости разрешать не умеет.
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  –3 +/
Сообщение от Аноним (24), 09-Сен-21, 12:04 
Представил себе зубастые пасти тараканов, спасибо поблевал.
Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +/
Сообщение от And (??), 09-Сен-21, 12:22 
У нас ведущий техническую часть разработки на всю сотню кодеров разок в неделю постит мемы. Чтобы не забывали и не привыкали к недостаткам JS.

Без этого было бы экспрессивно абсцентно плохо.

В общем, связанное с JS означает переусложнение в разработке. Приходится управлять ненужными обстоятельтвами из-за недостатков инструмента.

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  –5 +/
Сообщение от lockywolf (ok), 09-Сен-21, 12:34 
Какая разница? Я ещё ни одной программы на жс запустить не смог, окромя как в доккере. А в доккере это не важно.
Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +2 +/
Сообщение от JSOneLove (?), 09-Сен-21, 12:40 
ну ладно, вот вам патч:
if (leftstr(path, 4) == '////') path = rightstr(path, -4);
if (leftstr(path, 3) == '///') path = rightstr(path, -3);
if (leftstr(path, 2) == '//') path = rightstr(path, -2);
if (leftstr(path, 1) == '/') path = rightstr(path, -1);
Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +3 +/
Сообщение от Аноним (31), 09-Сен-21, 13:25 
Ты опоздал, они уже запатчили - https://www.opennet.ru/opennews/pics_base/0_1553748508.jpg
Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +/
Сообщение от commiethebeastie (ok), 09-Сен-21, 14:35 
Что за чинкод?
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

41. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +/
Сообщение от Аноним (28), 09-Сен-21, 19:53 
индиан вообще-то
Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +/
Сообщение от sweetlao (?), 12-Сен-21, 12:38 
мышееду неприятно
Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +/
Сообщение от OpenEcho (?), 09-Сен-21, 18:08 
s~^\s*(\/|\\)+~~g
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

32. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  –2 +/
Сообщение от Ананоним (?), 09-Сен-21, 13:36 
Смех Жириновского уже был? Чё не смеётесь, не смешно? Этож piece of crap самынастоящы.
Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +/
Сообщение от Аноним (34), 09-Сен-21, 13:37 
Про tar в теме новости не указали.
Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  –1 +/
Сообщение от кек (?), 09-Сен-21, 18:35 
Надо было ставить rar!
Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +/
Сообщение от Аноним (28), 09-Сен-21, 19:55 
и паковать-распаковывать прямо в облаке владельца архиватора, вообще же достаточно JSON-чиками обменяться
Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  –1 +/
Сообщение от кек (?), 09-Сен-21, 22:56 
Глупость какая, он есть в репах
Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +/
Сообщение от Аноним (48), 10-Сен-21, 10:47 
это ирония о вебтрендах
Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +/
Сообщение от Онаним (?), 10-Сен-21, 00:07 
Хосспаде, што, о5 dependency chaos поимели?
Ну и фиг с ним.
Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +/
Сообщение от Какаянахренразница (ok), 10-Сен-21, 16:31 
Отродясь такого не бывало, и опять то же самое ©
Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимость в NPM, приводящая к перезаписи файлов в системе"  +/
Сообщение от Аноним (54), 13-Сен-21, 16:14 
Да вы что? А какже безопастная память?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру