https://opennet.ru/openforum/vsluhforumID3/125168.html В NPM-пакете pac-resolver, насчитывающем более 3 млн загрузок в неделю, выявлена уязвимость (CVE-2021-23406), которая позволяет добиться выполнения своего JavaScript-кода в контексте приложения при отправке HTTP-запросов из Node.js-проектов, поддерживающих функцию автонастройки прокси-сервера...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55728<br> https://opennet.ru/openforum/vsluhforumID3/125168.html#52 Sat, 04 Sep 2021 15:20:27 GMT Не понял, но осуждаю?<br><br>Браузер как и пользователь вообще не причем<br>Выполняет nodejs, само<br>Потому что взяли кусок браузерной технологии, где оно к месту и всё хорошо, и вкорячили на сервер, где оно дырка<br> https://opennet.ru/openforum/vsluhforumID3/125168.html#51 Sat, 04 Sep 2021 15:11:11 GMT Их сейчас с js на rust переучивают ускоренно, чтоб в ядро коммитили<br> https://opennet.ru/openforum/vsluhforumID3/125168.html#50 Sat, 04 Sep 2021 15:09:32 GMT Там было хоть слово против библиотек? <br> https://opennet.ru/openforum/vsluhforumID3/125168.html#49 Sat, 04 Sep 2021 15:08:14 GMT Не в ту сторону воюете<br>Против библиотек никто не выступал<br>И есть разница между уникальной уязвимостью одного проекта и массовой<br> https://opennet.ru/openforum/vsluhforumID3/125168.html#48 Sat, 04 Sep 2021 06:45:18 GMT &gt; Я правильно понимаю, что проблему устранили указанием в документации что API теперь предназначено для запуска не заслуживающего доверия кода?<br><br>В документации было и осталось предупреждение, что не через vm нельзя запускать недоверенный код. А проблему устранили переводом pac-resolver на стороннюю либу vm2, в которой крайне огороженная песочница с ограниченным доступом к текущему runtime.<br> https://opennet.ru/openforum/vsluhforumID3/125168.html#47 Fri, 03 Sep 2021 20:41:40 GMT Любителей тянуть в рот всё свеженькое из непонятных источников опять поимели. Впрочем, так им и надо.<br> https://opennet.ru/openforum/vsluhforumID3/125168.html#45 Fri, 03 Sep 2021 16:49:21 GMT кто сказал, что это уязвимость?<br> https://opennet.ru/openforum/vsluhforumID3/125168.html#44 Fri, 03 Sep 2021 16:31:25 GMT &gt; Код возвращает настройку прокси - отдельно для каждого возможного и невозможного урла, <br>&gt; потому что, внезапно, они могут отличаться для разных адресов. Расскажи мне, <br>&gt; как это сделать универсальным образом без скриптов?<br><br>А как это делает этот скрипт?<br>Просто списка с фильтром по регуляркам недостаточно?<br><br>&gt;И дальше - о ужас, вообще сайт откроется! Вполне возможно - в ИНТЕРНЕТЕ! Который тоже может выполнить в твоем браузере - код! <br><br>Этот код как бы обычно остаётся в песочнице бравзера и не изменяет настройки бравзера.<br>Тоже скотство конечно. <br> https://opennet.ru/openforum/vsluhforumID3/125168.html#43 Fri, 03 Sep 2021 16:14:53 GMT &gt; Нужен meta npm с рейтингом модулей. За уязвимости рейтинг само собой снижать. <br><br>повышать же ж! Кто не сидел тот не паца...ой, простите, окошком ошибся. В ком не нашли еще увизгвимостей - тот значит 100% ненужное ненужно!<br><br><br><br>