URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 125217
[ Назад ]
Исходное сообщение
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено opennews , 09-Сен-21 10:11 
Компания GitHub раскрыла подробности о семи уязвимостях в пакетах tar и @npmcli/arborist, предоставляющих функции для работы с tar-архивами и расчета дерева зависимостей в Node.js. Уязвимости позволяют при распаковке специально оформленного архива перезаписать файлы за пределами корневого каталога, в который осуществляется распаковка, насколько это позволяют текущие права доступа. Проблемы дают возможность организовать выполнение произвольного кода в системе, например, через добавление команд в ~/.bashrc или ~/.profile при выполнении операции непривилегированным пользователем или через замену системных файлов при запуске с правами root...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55767

Содержание
Сообщения в этом обсуждении
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Аноним , 09-Сен-21 10:11 
остановите, нормальному программисту надо выйти
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Аноним , 09-Сен-21 10:59 
Это чем ты занимаешься нормальный?) Нейросетки? Другие алгоритмы машинного обучения? Делаешь комиты в ядро linux? Алгоритмы распознавания образов? Пишешь игровые движки? Движки физ. процессов? Мат. моделирование? Программы для космических спутников? Или может прошивки для крутых устройств пишешь на ассемблере и C++?
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено pashev.me , 09-Сен-21 11:28 
Фортран.

Лучший язык, в том числе для обучения.

Простой, не не примитивный. Минимальная программа - end.
Батарейки в комплекте.

Компилируемый. Близкий к железу. Но можно и на кластерах.

"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Xasd7 , 09-Сен-21 11:43 
> Батарейки в комплекте.

точно? :-D

"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено pashev.me , 09-Сен-21 11:45 
Точно.
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено lockywolf , 09-Сен-21 12:28 
Врёт как дышит. В комплекте там только многопоточность и функция Бесселя

хотя если аноним считает бомбы, это, конечно, уже немало

"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Аноним , 09-Сен-21 14:55 
В С++ тоже есть функция Бесселя.
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено заминированный тапок , 13-Сен-21 10:17 
и многопоточность
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Anonymoustus , 09-Сен-21 11:50 
Для обучения Фортран вряд ли стоит называть лучшим. Или придётся объяснять учащимся всю предысторию, включая перфокарты и синтаксис старого Фортрана, иначе не будет понимания о преемственности поколений языка и оправданности его современного и дальнейшего применения. А ведь маленькие будущие погромизды, глядя на различия Фортранов, этими вопросами неминуемо озаботятся и зададут их вам.

Паскаль был и есть лучшим языком для обучения. И «обобщённый» Бейсик я бы поставил на второе место по этому критерию.

"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено anonynous , 13-Сен-21 22:59 
паскаль язык который можно использовать только для обучения.
то есть использовать его в реальности смысла 0. лучше уж фортран. он точен.
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Anonymoustus , 13-Сен-21 23:15 
Я себе недавно написал на Паскале ненужную, как мне думалось, программу, чтобы просто вспомнить годы молодые и размять мозги, но которая внезапно не раз и не два оказалась нужной и я ею пользуюсь время от времени.

На Паскале очень хорошо и удобно писать хорошо структурно оформленные, наглядные и понятные программы.

Паскаль хорош и тем, что понятен не только, пока пишешь, но и когда-нибудь в будущем, когда читаешь.

"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Аноним , 09-Сен-21 12:59 
> не не примитивный

двойное отрицание... Значит примитивный?

"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Брат Анон , 09-Сен-21 14:43 
> Лучший язык, в том числе для обучения.

Изыди, сотона!

Фортран-77, сгинь нечистый!

"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Тот_Самый_Анонимус , 11-Сен-21 20:53 
Отвечу трусливому Anonymoustus'у под вашим комментом, ибо он запретил ответы ему.
Паскаль — кал для обучения.
Операторные скобки, выглядящие как операторы? — Это паскаль!
Логические операции в виде слов? — Это паскаль! (интересно, а почему они тогда знаки + и - ге заменили словами plus и minus?).
Кастрированный for?  Снова паскаль!
Ориентированность на систаксис английского языка и грамматики с маразматичным запоминанием, надо ли ставить точку с запятой пере else? — Паскаль, кто ж ещё?

Шикарный язык, что ещё сказать...

"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено anonynous , 13-Сен-21 23:01 
а от синтаксиса ссылок плакать хочется.
и повеситься.
и бегин енд по сравнению с ним - детский лепет.
крышечки ... <censored>...
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено anonynous , 13-Сен-21 23:03 
уж лучше lisp для обучения
он проще и _логичнее_ !
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Pilat66 , 16-Сен-21 17:50 
Не знаю как сейчас, а лет тридцать назад это был чуть ли не единственный язык с нормальными операциями над строками. На нём написать интерпретатор было просто удовольствие после C.
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Онаним , 10-Сен-21 00:08 
Биллинга мобильной телефонии хватит? :)
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Аноним , 10-Сен-21 08:04 
нормальный погромист это тот кто не ищет на реализацию микрометода готовый микропакет с единственной функцией, тот кто не "бампает" версию зависимостей не каждый визг.

чтобы вам было понятно в нодежс очень просто любому популярному пакету заговнокодить внутрь себя уязвимости или бекдоры и всем будет пофиг ибо никто не читает изменения самого кода.

"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено ___ , 09-Сен-21 10:13 
где коммент что никогда такого не было?
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Sw00p aka Jerom , 09-Сен-21 10:16 
петросяны в школе :)
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Аноним , 09-Сен-21 10:30 
если Ваганыча нету, то ты Степаненко и его подменяешь
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Аноним , 09-Сен-21 10:19 
Там же где и комментарий про раст. Тут.
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Аноним , 09-Сен-21 10:23 
тут — это вам не там!
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Жорш , 09-Сен-21 10:24 
> Уязвимости позволяют при распаковке специально оформленного архива перезаписать файлы за пределами корневого каталога, в который осуществляется распаковка, насколько это позволяют текущие права доступа.

А на Rust такого бы не было!

"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Аноним , 09-Сен-21 10:39 
Конечно раст это же +146% к безопасности. На нем можно даже не писать, можно просто верить в безопасность раста.
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Жироватт , 09-Сен-21 10:23 
Это настолько часто бывает, что и вот, опять.
Спасибо за напоминание про дежурный комментарий.
Максу надо сделать автодобавление его по кейвордам "NPM" + "уязвимость"
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Аноним , 09-Сен-21 10:40 
> по кейвордам "NPM" + "уязвимость"

достаточно просто "уязвимость"

"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Аноним , 09-Сен-21 10:40 
Комментарии уже давно можно генерировать нейросетью.
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Аноним , 09-Сен-21 10:19 
Классика
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Аноним , 09-Сен-21 10:31 
но это знать не надо
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено безответственность не всё , 09-Сен-21 11:02 
то ли ещё будет. и в хвалёном rust такое будет и в Go и в питонах.

всё от моды на безответственность!

"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Аноним , 09-Сен-21 12:37 
В Go, по факту, есть проверки, а если нет по какой-то причине, то там написано в комменте к функции (я о встроенных пакетах).
А если человек разбирается только в URL, а в механизмах работы с путями ФС не шарит, то язык уже не при чем.
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Аноним , 09-Сен-21 13:37 
В Go поступили проще сделали управление зависимостми неудобным. Это предотвращает бесконечные цепочки зависимостей. Безопаснее всего работа с зависимостями в C там с зависимостями просто никак не работают. Есть одна, две любы, которые все доят.
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Аноним , 09-Сен-21 13:37 
*либы, хотя любы даже забавнее.
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено пох. , 09-Сен-21 19:57 
вы услышали отровения человека, ни разу не пытавшегося собрать какой-нибудь cmake.

Две либы, ага, щас. Весь интернет не хочешь?!

Просто управление зависимостями обычно переложено на собирателей дистрибутивов. Которые хотя бы стараются иметь их ограниченное количество и при этом одинаковых для всех собираемых пакетов, а не каждый со своей уникальной версией одного и того же.

Генитальным разработчикам такое ограничение полета их мыслей, конечно же, претит.

"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено anonymous , 13-Сен-21 11:48 
Каким образом "такое будет" в Go?
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено pashev.me , 09-Сен-21 11:26 
Негодяи.
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено PetrG , 09-Сен-21 11:56 
Проработал с этим чудом техники больше года. Это как пасти хорошо накормленых тараканов. Только сделал npm audit fix, через неделю опять развлечений насыпало. Даже зависимости разрешать не умеет.
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Аноним , 09-Сен-21 12:04 
Представил себе зубастые пасти тараканов, спасибо поблевал.
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено And , 09-Сен-21 12:22 
У нас ведущий техническую часть разработки на всю сотню кодеров разок в неделю постит мемы. Чтобы не забывали и не привыкали к недостаткам JS.

Без этого было бы экспрессивно абсцентно плохо.

В общем, связанное с JS означает переусложнение в разработке. Приходится управлять ненужными обстоятельтвами из-за недостатков инструмента.

"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено lockywolf , 09-Сен-21 12:34 
Какая разница? Я ещё ни одной программы на жс запустить не смог, окромя как в доккере. А в доккере это не важно.
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено JSOneLove , 09-Сен-21 12:40 
ну ладно, вот вам патч:
if (leftstr(path, 4) == '////') path = rightstr(path, -4);
if (leftstr(path, 3) == '///') path = rightstr(path, -3);
if (leftstr(path, 2) == '//') path = rightstr(path, -2);
if (leftstr(path, 1) == '/') path = rightstr(path, -1);
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Аноним , 09-Сен-21 13:25 
Ты опоздал, они уже запатчили - https://www.opennet.dev/opennews/pics_base/0_1553748508.jpg
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено commiethebeastie , 09-Сен-21 14:35 
Что за чинкод?
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Аноним , 09-Сен-21 19:53 
индиан вообще-то
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено sweetlao , 12-Сен-21 12:38 
мышееду неприятно
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено OpenEcho , 09-Сен-21 18:08 
s~^\s*(\/|\\)+~~g
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Ананоним , 09-Сен-21 13:36 
Смех Жириновского уже был? Чё не смеётесь, не смешно? Этож piece of crap самынастоящы.
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Аноним , 09-Сен-21 13:37 
Про tar в теме новости не указали.
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено кек , 09-Сен-21 18:35 
Надо было ставить rar!
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Аноним , 09-Сен-21 19:55 
и паковать-распаковывать прямо в облаке владельца архиватора, вообще же достаточно JSON-чиками обменяться
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено кек , 09-Сен-21 22:56 
Глупость какая, он есть в репах
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Аноним , 10-Сен-21 10:47 
это ирония о вебтрендах
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Онаним , 10-Сен-21 00:07 
Хосспаде, што, о5 dependency chaos поимели?
Ну и фиг с ним.
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Какаянахренразница , 10-Сен-21 16:31 
Отродясь такого не бывало, и опять то же самое ©
"Уязвимость в NPM, приводящая к перезаписи файлов в системе"
Отправлено Аноним , 13-Сен-21 16:14 
Да вы что? А какже безопастная память?