forum.opennet.ru - "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тысячах проектах" (100)

"Уязвимость в NPM-пакете node-netmask, применяемом в 270 тысячах проектах"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в NPM-пакете node-netmask, применяемом в 270 тысячах проектах"	+/–
Сообщение от opennews (ok), 29-Мрт-21, 11:22
В NPM-пакете node-netmask, насчитывающем около 3 млн загрузок в неделю и используемом в качестве зависимости у более 270 тысяч проектов на GitHub, выявлена уязвимость (CVE-2021-28918), позволяющая обойти проверки, в которых сетевая маска используется для определения вхождения в диапазоны адресов или для фильтрации. Проблема устранена в выпуске node-netmask 2.0.0... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=54857
Ответить \| Правка \| Cообщить модератору

Оглавление

никогда не было и вот опять , Леголас (ok), 11:22 , 29-Мрт-21, (1) +12

Никаких 127 0 0 1 в приличных системах быть не должно , Аноним (-), 11:53 , 29-Мрт-21, (12) –2

ровно как и nodejs, Аноним (-), 11:53 , 29-Мрт-21, (13) +33
Как избавиться предлагаеш от 127 0 0 1 , валяйте (?), 19:42 , 29-Мрт-21, (83) +1

заменить на , B (?), 19:16 , 30-Мрт-21, (102)

Люблю эти Черномырдинки, Dzen Python (ok), 13:19 , 29-Мрт-21, (34)

вот это не понял 0177 0 0 1 , которое соответствует 127 0 0 1 поясните пожалу, имятакое (?), 11:23 , 29-Мрт-21, (2) –1

Восьмеричная запись начинается с нуля, Ононимус (?), 11:27 , 29-Мрт-21, (3) +2
0177 - восьмиричная система счисленияпереводим в 10-ю и получаем 127, Аноним (4), 11:28 , 29-Мрт-21, (4)
0 в начале числа по традиции у программистов означает 8-ричную систему счисления, A.Stahl (ok), 11:30 , 29-Мрт-21, (5)

Странная традицияДля интереса посмотрел що в жс как записывается все начинается, Lex (??), 12:15 , 29-Мрт-21, (22)

Кто писал на C, тот привык C появился на PDP-11, там восьмеричная система счисле, userd (ok), 12:49 , 29-Мрт-21, (27) +1

ping 0177 0 0 1PING 0177 0 0 1 127 0 0 1 56 84 bytes of data 64 bytes from , Аноним (6), 11:33 , 29-Мрт-21, (6) –1

- поясните пожалуйста, почему это равно этому- да, смотри, это равно этому, Леголас (ok), 11:39 , 29-Мрт-21, (7) +8

Потому что потому с , Аноним (15), 12:00 , 29-Мрт-21, (15)

Для полноты картины нужно попинговать 0x7F 0 0 1 , 0x7f 1 , 0x7F000001 , 0177000, userd (ok), 12:19 , 29-Мрт-21, (23) +8

А ведь работает даже под виндой , Tester (??), 15:18 , 29-Мрт-21, (62)

oct - dec, anonymous (??), 12:15 , 29-Мрт-21, (21)

oct - nov - dec, неуч, Аноним (50), 14:10 , 29-Мрт-21, (50) +4

Почему католические программисты путают Хеллоуин и Рождество Потому, что Oct 31 , Ыыы (??), 17:22 , 29-Мрт-21, (75) +3

Было большой ошибкой додуматься до включение восьмеричных чисел в спецификации I, Аноним (8), 11:39 , 29-Мрт-21, (8) –5

Авторы спеков так видят , пойми Скажи спасибо еще римские цифры не добавили , Аноним (9), 11:42 , 29-Мрт-21, (9) –2
Для своих целей восьмиричные числа весьма наглядные , gogo (?), 14:50 , 29-Мрт-21, (57) +2
Обезьянки взяли спеки, и написали по спекам , как привыкли В реальном мире всё , Аноним (66), 16:36 , 29-Мрт-21, (66)
Ваша способность выявлять ошибки вызывает сомнения, Аноним (76), 17:26 , 29-Мрт-21, (76)

В ipv6 такая же ситуация , Аноним (15), 11:58 , 29-Мрт-21, (14)

Другая , Аноним (50), 14:11 , 29-Мрт-21, (51) +3

Зевнул Уже даже не смешно Норма для ноды, руби и прочих растов с композерами , Аноним (66), 12:01 , 29-Мрт-21, (16)

Дело не в ноде, а коде inet_aton на C который изначально нарушал стандарт , Аноним (15), 12:12 , 29-Мрт-21, (20)

Именно - дело в коде , Аноним (25), 12:29 , 29-Мрт-21, (25) +2
а можно детальнее - какой именно стандарт и в чем , Урри (ok), 13:04 , 29-Мрт-21, (30) +1

Ну вот ссылка в статье есть на спецификациюhttps tools ietf org html draft-mai, Аноним (15), 13:14 , 29-Мрт-21, (31)

de facto standardЭто и не стандарт вовсе, а так принято А стандарт допускает и, 1 (??), 13:47 , 29-Мрт-21, (42)
Какие еще стандарты, там галимотья на кофескрипте конвертящая тупостроки Афтор , Аноним (45), 13:58 , 29-Мрт-21, (45)

Если задача стояла конвертить строки, то логично что работа идёт в т числе и со , Аноним (15), 14:03 , 29-Мрт-21, (49)

Ну еслиб тебя не роняли в детстве на голову так часто - то смог бы осилить айпи , Аноним (-), 15:42 , 29-Мрт-21, (63) +1

Если бы тебя не роняли в детстве, ты бы не писал чушь в комментариях, Аноним (92), 09:15 , 30-Мрт-21, (92)

Не вижу нарушения Может подскажете где именно , Урри (ok), 17:13 , 29-Мрт-21, (74)

Дело снова в отсутствии полноценной валидации входных данных То есть в кривых ру, Онаним (?), 14:23 , 29-Мрт-21, (52) +4

На Руби не гони, э https ideone com H0ewsRТут вам не питонжсы , Аноним (105), 22:13 , 02-Апр-21, (105)

Магия и остроумие костыликов сделать просто - договориться о волшебном значении, Анонимно Аффтор (?), 12:03 , 29-Мрт-21, (17) +2

Вы таки будете смеяться, но если в вендовой командной строке так что-то попингов, ryoken (ok), 15:12 , 29-Мрт-21, (60)

Поинт в другом Сокрытие настоящего типа объекта приводит к внезапности , Анонимно Аффтор (?), 16:07 , 29-Мрт-21, (65) +2

Вот они удивятся когда узнают что можно не только восьмеричные писать, но и 16-р, Аноним (15), 12:07 , 29-Мрт-21, (18) +8

Ээээ слушай, канчай шатать наша вселенная нода жс да , Аноним (29), 13:03 , 29-Мрт-21, (29) +4
господа нодисты открыли ящик Пандоры, Леголас (ok), 13:29 , 29-Мрт-21, (37) +4

Нее Тот ящик на всех подействовал И был чужим А эти сами себе всё делают , Аноним (61), 15:13 , 29-Мрт-21, (61) +1

Я пробежал указанный документ Из него следует что это не особо и то и вина разр, Аноним (15), 12:11 , 29-Мрт-21, (19)
Забавно смотреть как поступи ничего из себя не представляющие обитатели местного, Посылатель нахер (?), 12:46 , 29-Мрт-21, (26) +1

Уж больно есть что плохого в платформе Да Повлияла на индустрию Но мир внутри , Аноним (25), 13:44 , 29-Мрт-21, (39) +1

нет, Аноним (-), 15:44 , 29-Мрт-21, (64)

Одинэсника ответ, Твой батя (?), 21:36 , 29-Мрт-21, (88)

А мог быть и хуже Назови любой язык и я его обосру Толку то , Твой батя (?), 21:37 , 29-Мрт-21, (89)

rust, фас , Аноним (-), 16:35 , 30-Мрт-21, (101)

На всех двух нормальных языках в природе Пакетный менеджер так не работает д, Аноним (41), 13:45 , 29-Мрт-21, (41)

Не пишешь эти два языка во избежание унижения , Твой батя (?), 21:39 , 29-Мрт-21, (90)

Не только эти два указанных реальных IP могут обойти проверку Получается, любые, mymedia (ok), 13:03 , 29-Мрт-21, (28) –1

А на авторов либы гоните Тут свою гений RUSTут , B (?), 19:24 , 30-Мрт-21, (103)

А если ещё с шестнадцатеричными поиграться , Аноним (32), 13:16 , 29-Мрт-21, (32)
В новом коде насчёт 16-ричных систем тоже баг https github com rs node-netmask, Аноним (15), 13:17 , 29-Мрт-21, (33)

Муахах блдажд Называется - footmade code , Онаним (?), 14:24 , 29-Мрт-21, (53) +1

Других программистов на ноде у нас нет , Аноним (36), 13:29 , 29-Мрт-21, (36) +1

И не надо , Онаним (?), 14:25 , 29-Мрт-21, (54) +1
Либу писали кофескриптисты, не надо их примешать к нодистам , Аноним (87), 21:30 , 29-Мрт-21, (87)

Сорта, Noname (??), 13:24 , 30-Мрт-21, (96)

руби, Аноним (87), 16:23 , 30-Мрт-21, (100)

это проблема не в node, а вообще во всех языках проверка if IP 127 0 0 1 , onanim (?), 13:35 , 29-Мрт-21, (38) +1

и для строки вида 127 0 00 1 Сравнивать строковые представления ip адресов , Аноним (46), 13:58 , 29-Мрт-21, (46) +4
так что проверять юзерский инпут нужно не только на неравность строке 127 0, onanim (?), 13:59 , 29-Мрт-21, (47)

А чо не так-то в моем юзерском инпуте Как по мне - норм же ж ip-адрес linups , пох. (?), 17:08 , 29-Мрт-21, (73) +2

Скажу крамольную, на данном сайте вещь Но даже сам великий и ужасный Раст не по, Аноним (41), 13:44 , 29-Мрт-21, (40) +3

Писатели на расте никогда бы не написали код, который строится на допущении, что, Аноним (36), 13:50 , 29-Мрт-21, (43) –3

Стандарт допускает восьмеричные числа в айпи-адресе , Аноним (68), 16:47 , 29-Мрт-21, (68) +1
println , 0177 0 0 1 parse Ipv4Addr Ok 177 0 0 1 , Аноним (77), 18:34 , 29-Мрт-21, (77) +2
0177 0 0 1 даже стандартная регулирочка из всех книжек по программированию не пр, Аноним (92), 20:02 , 29-Мрт-21, (86)

не вижу в этом уязвимости Просто нормальное поведение преобразования адреса А кт, 1 (??), 13:51 , 29-Мрт-21, (44) +1
От кривых рук спасает только ампутация Да и вообще, с чего вы взяли, что Rust ч, Анонимъ (?), 15:09 , 29-Мрт-21, (59)

Это фракталята тут постоянно вещают Сами не знают о чем , Аноним (68), 16:48 , 29-Мрт-21, (69) +1

Точно У rust есть поддержка up адресов в стандартной библиотеке Вроде бы У ja, Аноним (92), 19:54 , 29-Мрт-21, (84)

Ip адресов, Аноним (92), 19:55 , 29-Мрт-21, (85)
Дык, вот такая поддержка у них и есть Проблеме подвержена стандартная библиот, пох. (?), 10:02 , 30-Мрт-21, (94)

В защиту JS могу сказать, что багованный код написан был НЕ на JavaScript , Аноним (15), 14:01 , 29-Мрт-21, (48) +1
Уязвимость NPM-пакет Предлагаю всем заучить эту формулу , Аноним (55), 14:32 , 29-Мрт-21, (55) +3
Если бы это была уязвимость, то обновление вышло бы как 1 0 7 А это явно фича, и, Аноним (56), 14:50 , 29-Мрт-21, (56) +1

Точно Чтобы у те, кто хочет оставить себе этот баг в системе, могли не апдейтит, gogo (?), 14:57 , 29-Мрт-21, (58)

Так может у них код приложения именно так и написан чтобы эта либа принимала вос, Аноним (68), 16:51 , 29-Мрт-21, (70)

С годоми уровень программеров очень упал , Аноним (67), 16:36 , 29-Мрт-21, (67) +1

Больше кода больше багов Не надо грязи , Аноним (68), 16:51 , 29-Мрт-21, (71) –1

Базовая, либсишная функция со времен появления айпи Откуда его вдруг за пол век, Аноним (-), 19:28 , 29-Мрт-21, (81)

ребят, а как же говорили что Линукс, ГНУ, Опенсурс - это надежно, нет бакдоров, , Аноним (78), 19:00 , 29-Мрт-21, (78)

Тысячи глаз и нашли Обновись просто В npm выводит предупреждения, если есть vu, Аноним (91), 23:52 , 29-Мрт-21, (91)
никто такого не говорил на гнуорг вообще обратное написано - что каждый думает , Аноним (-), 15:05 , 30-Мрт-21, (99)

Кучу валидаторов писала и не знала об этом , Аноним (92), 19:21 , 29-Мрт-21, (79)

Так задача ж была валидатор писать, а не знать Чё не так- то , Noname (??), 13:53 , 30-Мрт-21, (98) +1

Это даже уязвимостью назвать нельзя Библиотека явно предполагает на входе IP-адр, Аноним (82), 19:30 , 29-Мрт-21, (82) +1

и плевать что ее единственная задача - преобразование форматов Ну оок Давайте по, пох. (?), 09:42 , 30-Мрт-21, (93) +1

Что-то мне никак не хватает воображения представить эксплоит Типовая задача при, PnD (??), 11:43 , 30-Мрт-21, (95) +1
где-то в глубине используемых шелловых сценариев для таких случаев применяется s, Чолхан (ok), 13:49 , 30-Мрт-21, (97)
А, напомните, почему атакующий не может просто запросить ресурс, указав значение, Chupaka (ok), 11:25 , 31-Мрт-21, (104) +1
171 в 270 тысячах проектОВ 187 , Аноним (106), 21:29 , 03-Апр-21, (106)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +12 +/–

Сообщение от Леголас (ok), 29-Мрт-21, 11:22

никогда не было и вот опять ©

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." –2 +/–

Сообщение от Аноним (-), 29-Мрт-21, 11:53

Никаких 127.0.0.1 в приличных системах быть не должно !

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +33 +/–

Сообщение от Аноним (-), 29-Мрт-21, 11:53

ровно как и nodejs

Ответить | Правка | Наверх | Cообщить модератору

83. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +1 +/–

Сообщение от валяйте (?), 29-Мрт-21, 19:42

Как избавиться предлагаеш от 127..0.0.1?

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

102. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от B (?), 30-Мрт-21, 19:16

>> 127..0.0.1
заменить ".." на "."?

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Dzen Python (ok), 29-Мрт-21, 13:19

Люблю эти Черномырдинки

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." –1 +/–

Сообщение от имятакое (?), 29-Мрт-21, 11:23

вот это не понял.
"0177.0.0.1", которое соответствует "127.0.0.1"
поясните пожалуйста

Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +2 +/–

Сообщение от Ононимус (?), 29-Мрт-21, 11:27

Восьмеричная запись начинается с нуля

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (4), 29-Мрт-21, 11:28

0177 - восьмиричная система счисления
переводим в 10-ю и получаем 127

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

5. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от A.Stahl (ok), 29-Мрт-21, 11:30

0 в начале числа по традиции у программистов означает 8-ричную систему счисления. 177 в восьмеричной равно 127 в десятичной.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

22. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Lex (??), 29-Мрт-21, 12:15

Странная традиция
Для интереса посмотрел що в жс как записывается( все начинается с нуля, далее исчисление и само число что гораздо универсальней и наглядней ):
Бинарные - 0b11 ( 3 )
Восьмеричные - 0o11 ( 9 )
Шестнадцатеричные - 0x11 ( 17 )
Хотя и начинание с нуля тож работает - число воспринимается как восьмеричное.. и даже если тех нулей с десяток )

Ответить | Правка | Наверх | Cообщить модератору

27. "Странная традиция" +1 +/–

Сообщение от userd (ok), 29-Мрт-21, 12:49

Кто писал на C, тот привык.
C появился на PDP-11, там восьмеричная система счисления была много популярнее шестнадцатеричной.

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." –1 +/–

Сообщение от Аноним (6), 29-Мрт-21, 11:33

$ ping 0177.0.0.1
PING 0177.0.0.1 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.042 ms

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

7. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +8 +/–

Сообщение от Леголас (ok), 29-Мрт-21, 11:39

- поясните пожалуйста, почему это равно этому
- да, смотри, это равно этому

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (15), 29-Мрт-21, 12:00

Потому что потому (с)

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +8 +/–

Сообщение от userd (ok), 29-Мрт-21, 12:19

Для полноты картины нужно попинговать 0x7F.0.0.1 , 0x7f.1 , 0x7F000001 , 017700000001 и 2130706433 .

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

62. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Tester (??), 29-Мрт-21, 15:18

А ведь работает даже под виндой.

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от anonymous (??), 29-Мрт-21, 12:15

oct -> dec

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

50. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +4 +/–

Сообщение от Аноним (50), 29-Мрт-21, 14:10

oct -> nov -> dec, неуч

Ответить | Правка | Наверх | Cообщить модератору

75. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +3 +/–

Сообщение от Ыыы (??), 29-Мрт-21, 17:22

Почему католические программисты путают Хеллоуин и Рождество?
Потому, что Oct 31 === Dec 25

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." –5 +/–

Сообщение от Аноним (8), 29-Мрт-21, 11:39

Было большой ошибкой додуматься до включение восьмеричных чисел в спецификации IP-адресов, которые было очевидно чо в будущем никто читать не будет?

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." –2 +/–

Сообщение от Аноним (9), 29-Мрт-21, 11:42

Авторы спеков "так видят", пойми. Скажи спасибо еще римские цифры не добавили.

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +2 +/–

Сообщение от gogo (?), 29-Мрт-21, 14:50

Для своих целей восьмиричные числа весьма наглядные.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

66. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (66), 29-Мрт-21, 16:36

Обезьянки взяли спеки, и написали "по спекам", как привыкли.
В реальном мире всё оказалось гораздо неожиданнее.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

76. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (76), 29-Мрт-21, 17:26

> было большой ошибкой додуматься...
Ваша способность выявлять ошибки вызывает сомнения

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

14. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (15), 29-Мрт-21, 11:58

В ipv6 такая же ситуация?

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +3 +/–

Сообщение от Аноним (50), 29-Мрт-21, 14:11

Другая.

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (66), 29-Мрт-21, 12:01

Зевнул.
Уже даже не смешно.
Норма для ноды, руби и прочих растов с композерами.

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (15), 29-Мрт-21, 12:12

Дело не в ноде, а коде inet_aton на C который изначально нарушал стандарт.

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +2 +/–

Сообщение от Аноним (25), 29-Мрт-21, 12:29

Именно - дело в коде.

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +1 +/–

Сообщение от Урри (ok), 29-Мрт-21, 13:04

а можно детальнее - какой именно стандарт и в чем?

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

31. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (15), 29-Мрт-21, 13:14

Ну вот ссылка в статье есть на спецификацию
https://tools.ietf.org/html/draft-main-ipaddr-text-rep-02
>>Meanwhile, a very popular implementation of IP networking went off in its own direction.
>>  The 4.2BSD inet_aton() has been widely copied and imitated, and so is a de facto standard for the textual representation of IPv4 addresses.

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от 1 (??), 29-Мрт-21, 13:47

de facto standard
Это и не стандарт вовсе, а "так принято".
А стандарт допускает и десятеричное число в качестве ip адреса.

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (45), 29-Мрт-21, 13:58

Какие еще стандарты, там галимотья на кофескрипте конвертящая тупостроки. Афтор небось и не слышал ни про какие inet_aton() за все свои 14 лет жизни.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

49. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (15), 29-Мрт-21, 14:03

Если задача стояла конвертить строки, то логично что работа идёт в т числе и со строками. Не вижу в этом проблему. А то что автор не смотрел на inet_aton это хорошо, потому что это как раз с него не надо брать пример.

Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +1 +/–

Сообщение от Аноним (-), 29-Мрт-21, 15:42

Ну еслиб тебя не роняли в детстве на голову так часто - то смог бы осилить айпи адресацию и понимал  как это работает, а не нёс пургу в духе "если там строки то в том числе и строки"

Ответить | Правка | Наверх | Cообщить модератору

92. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (92), 30-Мрт-21, 09:15

Если бы тебя не роняли в детстве, ты бы не писал чушь в комментариях

Ответить | Правка | Наверх | Cообщить модератору

74. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Урри (ok), 29-Мрт-21, 17:13

Не вижу нарушения. Может подскажете где именно?

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

52. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +4 +/–

Сообщение от Онаним (?), 29-Мрт-21, 14:23

Дело снова в отсутствии полноценной валидации входных данных.
То есть в кривых руках.
А заодно - в избыточном доверии к стороннему говнокоду.
То есть снова в кривых руках.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

105. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (105), 02-Апр-21, 22:13

На Руби не гони, э.
https://ideone.com/H0ewsR
Тут вам не питонжсы.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

17. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тысячах проектах" +2 +/–

Сообщение от Анонимно Аффтор (?), 29-Мрт-21, 12:03

Магия и остроумие костыликов: сделать просто - договориться о волшебном значении нуля в начале строки.
А чё, простое и остроумное решение. И сколько ж встречено  таких кроильщиков...
Кроилово ведёт к попадалово.

Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тысячах проектах" +/–

Сообщение от ryoken (ok), 29-Мрт-21, 15:12

Вы таки будете смеяться, но если в вендовой командной строке так что-то попинговать - будет соответствие RFC и пинги поедут на 8-ричный адрес :D.

Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тысячах проектах" +2 +/–

Сообщение от Анонимно Аффтор (?), 29-Мрт-21, 16:07

Поинт в другом. Сокрытие настоящего типа объекта приводит к внезапности.

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +8 +/–

Сообщение от Аноним (15), 29-Мрт-21, 12:07

Вот они удивятся когда узнают что можно не только восьмеричные писать, но и 16-ричные
ping 0x7F.0x0.0x0.0x1

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +4 +/–

Сообщение от Аноним (29), 29-Мрт-21, 13:03

Ээээ слушай, канчай шатать наша вселенная нода жс да !

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +4 +/–

Сообщение от Леголас (ok), 29-Мрт-21, 13:29

господа нодисты открыли ящик Пандоры

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

61. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +1 +/–

Сообщение от Аноним (61), 29-Мрт-21, 15:13

Нее. Тот ящик на всех подействовал. И был чужим.
А эти сами себе всё делают.

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (15), 29-Мрт-21, 12:11

Я пробежал указанный документ. Из него следует что это не особо и то и вина разрабов пакета.
>> So far we've seen two parallel versions of IPv4 address textual
   syntax.
То есть сделали по стандарту. А вот этих стандартов куча и даже больше.

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +1 +/–

Сообщение от Посылатель нахер (?), 29-Мрт-21, 12:46

Забавно смотреть как поступи ничего из себя не представляющие обитатели местного зоопарка хейтят платформу столь сильно оказывающую влияние на развитие индустриии. Уязвимость даже не в самой платформе а в пакете, пакетный менеджер работает аналогично всем остальным в других платформах. Но нет, побомбить то принято именно с ноды. В святом расте то такое уж точно недопустимо.

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +1 +/–

Сообщение от Аноним (25), 29-Мрт-21, 13:44

Уж больно есть что плохого в платформе.
Да. Повлияла на индустрию. Но мир внутри мог бы быть лучше. Увы и ах.

Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (-), 29-Мрт-21, 15:44

> Да. Повлияла на индустрию
нет

Ответить | Правка | Наверх | Cообщить модератору

88. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Твой батя (?), 29-Мрт-21, 21:36

Одинэсника ответ

Ответить | Правка | Наверх | Cообщить модератору

89. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Твой батя (?), 29-Мрт-21, 21:37

А мог быть и хуже. Назови любой язык и я его обосру. Толку то?

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

101. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (-), 30-Мрт-21, 16:35

rust, фас !

Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (41), 29-Мрт-21, 13:45

На всех (двух) нормальных языках в природе. Пакетный менеджер так не работает (да его и нет)

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

90. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Твой батя (?), 29-Мрт-21, 21:39

Не пишешь эти два языка во избежание унижения?)

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." –1 +/–

Сообщение от mymedia (ok), 29-Мрт-21, 13:03

> Исследователи лишь предполагают, что владельцы 87.0.0.1 (Telecom Italia) и 177.0.0.1 (Brasil Telecom) имеют возможность обойти ограничение доступа к 127.0.0.1.
Не только эти два указанных реальных IP могут обойти проверку. Получается, любые адреса в данных подсетях размера /8, могут обращаться к локалхосту за node-netmask. Так 0177.0177.0177.0177 превратится в 127.127.127.127, а это как раз локальный хост.

Ответить | Правка | Наверх | Cообщить модератору

103. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от B (?), 30-Мрт-21, 19:24

А на авторов либы гоните. Тут свою гений RUSTут!

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (32), 29-Мрт-21, 13:16

А если ещё с шестнадцатеричными поиграться...

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (15), 29-Мрт-21, 13:17

В новом коде насчёт 16-ричных систем тоже баг https://github.com/rs/node-netmask/issues/37
Так что ждём очередного обновления

Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +1 +/–

Сообщение от Онаним (?), 29-Мрт-21, 14:24

Муахах блдажд.
Называется - footmade code.

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +1 +/–

Сообщение от Аноним (36), 29-Мрт-21, 13:29

Других программистов на ноде у нас нет.

Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +1 +/–

Сообщение от Онаним (?), 29-Мрт-21, 14:25

И не надо.

Ответить | Правка | Наверх | Cообщить модератору

87. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (87), 29-Мрт-21, 21:30

Либу писали кофескриптисты, не надо их примешать к нодистам.

Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

96. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Noname (??), 30-Мрт-21, 13:24

Сорта

Ответить | Правка | Наверх | Cообщить модератору

100. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (87), 30-Мрт-21, 16:23

руби

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +1 +/–

Сообщение от onanim (?), 29-Мрт-21, 13:35

>  В приложении при оценке правил доступа не будет определена тождественность с "127.0.0.1" и ресурс будет загружен с "0177.0.0.1" (фактически с 127.0.0.1), несмотря на запрет обращения к адресам loopback-интерфейса.
это проблема не в node, а вообще во всех языках.
проверка if ($IP != "127.0.0.1") выдаст true для строки вида "0177.0.0.1", но по факту подключение-то будет к 127.0.0.1, а не к 177.0.0.1.

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +4 +/–

Сообщение от Аноним (46), 29-Мрт-21, 13:58

> проверка if ($IP != "127.0.0.1") выдаст true
и для строки вида "127.0.00.1". Сравнивать строковые представления ip адресов — проблема явно не в языках.

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от onanim (?), 29-Мрт-21, 13:59

... так что проверять юзерский инпут нужно не только на неравность строке "127.0.0.1", но и что это вообще является IP адресом, а не неведомой бинарной фигнёй с кавычками и спецсимволами.

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

73. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +2 +/–

Сообщение от пох. (?), 29-Мрт-21, 17:08

А чо не так-то в моем юзерском инпуте ? Как по мне - норм же ж ip-адрес?!
linups:~> ping 0x7f.0.0.1
PING 0x7f.0.0.1 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.036 ms
64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.064 ms
^C
--- 0x7f.0.0.1 ping statistics ---
Всегда ж так пингую
Вот додуматься сравнивать их как СТРОКИ - это действительно какие-то уникальные грибы у этих ребят уродились. Не надо таких жрать, а то так и останешься поехавшим.
Ну и просто прекрасно именно то, что такой костылекод используется примерно везде, где они работают с адресами.
Помнити npm leftpad!

Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +3 +/–

Сообщение от Аноним (41), 29-Мрт-21, 13:44

Скажу крамольную, на данном сайте вещь. Но даже сам великий и ужасный Раст не помог бы защититься от такой уязвимости.

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." –3 +/–

Сообщение от Аноним (36), 29-Мрт-21, 13:50

Писатели на расте никогда бы не написали код, который строится на допущении, что IP-адрес - это десятичные числа, разделенные точками.
Нужно быть совсем непроцарапанной макакой, чтобы срезать ведущий ноль. Это в языке, где встроенный Number парсит восьмеричные по признаку ведущего нуля и во всех книгах про это в самом начале. То есть либу писали люди, не знающие даже сам джаваскрипт. Это нонсенс.
Надо конкретных программистам волчий билет за такое выдать.

Ответить | Правка | Наверх | Cообщить модератору

68. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +1 +/–

Сообщение от Аноним (68), 29-Мрт-21, 16:47

Стандарт допускает восьмеричные числа в айпи-адресе.

Ответить | Правка | Наверх | Cообщить модератору

77. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +2 +/–

Сообщение от Аноним (77), 29-Мрт-21, 18:34

println!("{:?}", "0177.0.0.1".parse::<Ipv4Addr>());
Ok(177.0.0.1)

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

86. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (92), 29-Мрт-21, 20:02

0177.0.0.1 даже стандартная регулирочка из всех книжек по программированию не пропустит. Никто не ожидает что в адресе будут какие то  восьмиричные числа.
Кроме анонимных опеннет экспертов, конечно.

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

44. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +1 +/–

Сообщение от 1 (??), 29-Мрт-21, 13:51

не вижу в этом уязвимости.
Просто нормальное поведение преобразования адреса.
А кто там себе напридумывал, что локалхост это "^127" пусть обламаются.

Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

59. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Анонимъ (?), 29-Мрт-21, 15:09

От кривых рук спасает только ампутация. Да и вообще, с чего вы взяли, что Rust что-то там кому-то обещает? Единственная заслуга Rust - это возможность делать некоторые проверки на этапе компиляции.
А так: https://doc.rust-lang.org/nightly/std/net/struct.Ipv4Addr.ht...

Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

69. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +1 +/–

Сообщение от Аноним (68), 29-Мрт-21, 16:48

Это фракталята тут постоянно вещают. Сами не знают о чем.

Ответить | Правка | Наверх | Cообщить модератору

84. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (92), 29-Мрт-21, 19:54

Точно? У rust есть поддержка up адресов в стандартной библиотеке. Вроде бы. У java точно есть. У питона даже маски есть. А у js нет ничего

Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

85. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (92), 29-Мрт-21, 19:55

Ip адресов

Ответить | Правка | Наверх | Cообщить модератору

94. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от пох. (?), 30-Мрт-21, 10:02

Дык, вот такая поддержка у них и есть:  "Проблеме подвержена стандартная библиотека std::net::Ipv4Addr языка Rust"
Ну с чего бы хрустерам уметь думать в голову. Они ж туда едят!

Ответить | Правка | К родителю #84 | Наверх | Cообщить модератору

48. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +1 +/–

Сообщение от Аноним (15), 29-Мрт-21, 14:01

В защиту JS могу сказать, что багованный код написан был НЕ на JavaScript.

Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +3 +/–

Сообщение от Аноним (55), 29-Мрт-21, 14:32

"Уязвимость = NPM-пакет".
Предлагаю всем заучить эту формулу.

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +1 +/–

Сообщение от Аноним (56), 29-Мрт-21, 14:50

Если бы это была уязвимость, то обновление вышло бы как 1.0.7.
А это явно фича, и пакет теперь 2.0.0.

Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от gogo (?), 29-Мрт-21, 14:57

Точно. Чтобы у те, кто хочет оставить себе этот баг в системе, могли не апдейтить зависимость на версию 2.х

Ответить | Правка | Наверх | Cообщить модератору

70. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (68), 29-Мрт-21, 16:51

Так может у них код приложения именно так и написан чтобы эта либа принимала восьмеричные значения. Чтобы ничего не ломать надо повышать версию.

Ответить | Правка | Наверх | Cообщить модератору

67. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +1 +/–

Сообщение от Аноним (67), 29-Мрт-21, 16:36

С годоми уровень программеров очень упал.

Ответить | Правка | Наверх | Cообщить модератору

71. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." –1 +/–

Сообщение от Аноним (68), 29-Мрт-21, 16:51

Больше кода больше багов. Не надо грязи.

Ответить | Правка | Наверх | Cообщить модератору

81. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (-), 29-Мрт-21, 19:28

Базовая, либсишная функция со времен появления айпи. Откуда его вдруг за пол века стало больше ?

Ответить | Правка | Наверх | Cообщить модератору

78. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (78), 29-Мрт-21, 19:00

ребят, а как же говорили что Линукс, ГНУ, Опенсурс - это надежно, нет бакдоров, суперсекюрити, потому что тысячи глаз смотрят код, он открытый, это гарантирует, что он в тысячу раз лучшее и надежнее, чем закрытый Уиндоус. Как же так? Неужели врали все эти десятки лет??!

Ответить | Правка | Наверх | Cообщить модератору

91. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (91), 29-Мрт-21, 23:52

Тысячи глаз и нашли. Обновись просто. В npm выводит предупреждения, если есть vulnerable

Ответить | Правка | Наверх | Cообщить модератору

99. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (-), 30-Мрт-21, 15:05

> ребят, а как же говорили что Линукс, ГНУ, Опенсурс - это надежно, нет бакдоров, суперсекюрити, потому что тысячи глаз смотрят код,
никто такого не говорил. на гнуорг вообще обратное написано - что каждый думает что сосед проверит и в итоге все пользуются дырявым кодом.

Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

79. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (92), 29-Мрт-21, 19:21

Кучу валидаторов писала и не знала об этом.

Ответить | Правка | Наверх | Cообщить модератору

98. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +1 +/–

Сообщение от Noname (??), 30-Мрт-21, 13:53

Так задача ж была валидатор писать, а не знать.
Чё не так- то?

Ответить | Правка | Наверх | Cообщить модератору

82. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +1 +/–

Сообщение от Аноним (82), 29-Мрт-21, 19:30

Это даже уязвимостью назвать нельзя.
Библиотека явно предполагает на входе IP-адрес в десятичном формате, и не заявляет, что занимается валидацией. Не провалидировал - сам себе буратино. Типичный gargabe in - garbage out.

Ответить | Правка | Наверх | Cообщить модератору

93. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +1 +/–

Сообщение от пох. (?), 30-Мрт-21, 09:42

> Библиотека явно предполагает на входе IP-адрес в десятичном формате,
и плевать что ее единственная задача - преобразование форматов.
Ну оок.
Давайте подключим еще пятнадцать библиотек чтобы провалидировать. И потом в них будем искать увизгвимости отдельно.
Ведь на ноде-макакс нельзя самому в три строки уместить то же самое, надо обязательно втянуть список зависимостей на две страницы.
И продолжим сравнивать ip адреса как строки.

Ответить | Правка | Наверх | Cообщить модератору

95. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +1 +/–

Сообщение от PnD (??), 30-Мрт-21, 11:43

Что-то мне никак не хватает воображения представить эксплоит.
Типовая задача "прикрыть что-то ACL" предполагает что какие надо CIDR пишет администратор системы. Да хоть "0x7F000000/8", если его библиотека такое переваривает (и коллеги не поколотят).
С другой стороны, адрес прилетевшего v4-пакета прописан 32 битами без знака. И ничего там не нахимичишь. Если только "сетевой" порядок с "обычным" перепутать. Но такие ляпы уже́ много лет как покрыты тестами.
Что остаётся? Системы, в которых пользователю разрешено что-то заслать на адрес. E.g. looking-glass. Но там адрес можно вколотить любой "by design" и это не дыра.
Или какие-то наркоманы конвертят uint32 в oct-строку и потом её сравнивают? Тогда "огласите весь список, пожалуйста".

Ответить | Правка | Наверх | Cообщить модератору

97. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Чолхан (ok), 30-Мрт-21, 13:49

где-то в глубине используемых шелловых сценариев для таких случаев применяется sipcalc - он не дает себя обмануть:
            Address must be given in the "standard" dotted quad format, ie.: xxx.xxx.xxx.xxx with an optional netmask that can be given in three different ways:
               - CIDR, ex. /n where n >= 0 <= 32.
               - Dotted quad, ex. xxx.xxx.xxx.xxx.
               - A hex value, ex 0xnnnnnnnn or nnnnnnnn.


sipcalc 0177.0.0.1
-[int-ipv4 : 0177.0.0.1] - 0
-[ERR : Unable to retrieve interface information]
-
-------
sipcalc 127.0.0.1
-[ipv4 : 127.0.0.1] - 0
[CIDR]
Host address            - 127.0.0.1
Host address (decimal)  - 2130706433
Host address (hex)      - 7F000001
Network address         - 127.0.0.1
Network mask            - 255.255.255.255
Network mask (bits)     - 32
Network mask (hex)      - FFFFFFFF
Broadcast address       - 127.0.0.1
Cisco wildcard          - 0.0.0.0
Addresses in network    - 1
Network range           - 127.0.0.1 - 127.0.0.1
-

Ответить | Правка | Наверх | Cообщить модератору

104. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +1 +/–

Сообщение от Chupaka (ok), 31-Мрт-21, 11:25

> Например, атакующий может запросить ресурс, указав значение "0177.0.0.1", которое в десятичном представлении соответствует "127.0.0.1"
А, напомните, почему атакующий не может просто запросить ресурс, указав значение "127.0.0.1", раз уж ему дали разрешение указывать значения?..

Ответить | Правка | Наверх | Cообщить модератору

106. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..." +/–

Сообщение от Аноним (106), 03-Апр-21, 21:29

«в 270 тысячах проектОВ»

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	+12 +/–
Сообщение от Леголас (ok), 29-Мрт-21, 11:22
никогда не было и вот опять ©
Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	–2 +/–
	Сообщение от Аноним (-), 29-Мрт-21, 11:53
	Никаких 127.0.0.1 в приличных системах быть не должно !
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	+33 +/–
	Сообщение от Аноним (-), 29-Мрт-21, 11:53
	ровно как и nodejs
	Ответить \| Правка \| Наверх \| Cообщить модератору


	83. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	+1 +/–
	Сообщение от валяйте (?), 29-Мрт-21, 19:42
	Как избавиться предлагаеш от 127..0.0.1?
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	102. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	+/–
	Сообщение от B (?), 30-Мрт-21, 19:16
	>> 127..0.0.1 заменить ".." на "."?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	+/–
	Сообщение от Dzen Python (ok), 29-Мрт-21, 13:19
	Люблю эти Черномырдинки
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

2. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	–1 +/–
Сообщение от имятакое (?), 29-Мрт-21, 11:23
вот это не понял. "0177.0.0.1", которое соответствует "127.0.0.1" поясните пожалуйста
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	+2 +/–
	Сообщение от Ононимус (?), 29-Мрт-21, 11:27
	Восьмеричная запись начинается с нуля
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	+/–
	Сообщение от Аноним (4), 29-Мрт-21, 11:28
	0177 - восьмиричная система счисления переводим в 10-ю и получаем 127
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	5. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	+/–
	Сообщение от A.Stahl (ok), 29-Мрт-21, 11:30
	0 в начале числа по традиции у программистов означает 8-ричную систему счисления. 177 в восьмеричной равно 127 в десятичной.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	22. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	+/–
	Сообщение от Lex (??), 29-Мрт-21, 12:15
	Странная традиция Для интереса посмотрел що в жс как записывается( все начинается с нуля, далее исчисление и само число что гораздо универсальней и наглядней ): Бинарные - 0b11 ( 3 ) Восьмеричные - 0o11 ( 9 ) Шестнадцатеричные - 0x11 ( 17 ) Хотя и начинание с нуля тож работает - число воспринимается как восьмеричное.. и даже если тех нулей с десяток )
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Странная традиция"	+1 +/–
	Сообщение от userd (ok), 29-Мрт-21, 12:49
	Кто писал на C, тот привык. C появился на PDP-11, там восьмеричная система счисления была много популярнее шестнадцатеричной.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	–1 +/–
	Сообщение от Аноним (6), 29-Мрт-21, 11:33
	$ ping 0177.0.0.1 PING 0177.0.0.1 (127.0.0.1) 56(84) bytes of data. 64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.042 ms
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	7. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	+8 +/–
	Сообщение от Леголас (ok), 29-Мрт-21, 11:39
	- поясните пожалуйста, почему это равно этому - да, смотри, это равно этому
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	+/–
	Сообщение от Аноним (15), 29-Мрт-21, 12:00
	Потому что потому (с)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	+8 +/–
	Сообщение от userd (ok), 29-Мрт-21, 12:19
	Для полноты картины нужно попинговать 0x7F.0.0.1 , 0x7f.1 , 0x7F000001 , 017700000001 и 2130706433 .
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	62. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	+/–
	Сообщение от Tester (??), 29-Мрт-21, 15:18
	А ведь работает даже под виндой.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	+/–
	Сообщение от anonymous (??), 29-Мрт-21, 12:15
	oct -> dec
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	50. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	+4 +/–
	Сообщение от Аноним (50), 29-Мрт-21, 14:10
	oct -> nov -> dec, неуч
	Ответить \| Правка \| Наверх \| Cообщить модератору


	75. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	+3 +/–
	Сообщение от Ыыы (??), 29-Мрт-21, 17:22
	Почему католические программисты путают Хеллоуин и Рождество? Потому, что Oct 31 === Dec 25
	Ответить \| Правка \| Наверх \| Cообщить модератору

8. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	–5 +/–
Сообщение от Аноним (8), 29-Мрт-21, 11:39
Было большой ошибкой додуматься до включение восьмеричных чисел в спецификации IP-адресов, которые было очевидно чо в будущем никто читать не будет?
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	–2 +/–
	Сообщение от Аноним (9), 29-Мрт-21, 11:42
	Авторы спеков "так видят", пойми. Скажи спасибо еще римские цифры не добавили.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	57. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	+2 +/–
	Сообщение от gogo (?), 29-Мрт-21, 14:50
	Для своих целей восьмиричные числа весьма наглядные.
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	66. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	+/–
	Сообщение от Аноним (66), 29-Мрт-21, 16:36
	Обезьянки взяли спеки, и написали "по спекам", как привыкли. В реальном мире всё оказалось гораздо неожиданнее.
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	76. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	+/–
	Сообщение от Аноним (76), 29-Мрт-21, 17:26
	> было большой ошибкой додуматься... Ваша способность выявлять ошибки вызывает сомнения
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору

14. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	+/–
Сообщение от Аноним (15), 29-Мрт-21, 11:58
В ipv6 такая же ситуация?
Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	+3 +/–
	Сообщение от Аноним (50), 29-Мрт-21, 14:11
	Другая.
	Ответить \| Правка \| Наверх \| Cообщить модератору

16. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	+/–
Сообщение от Аноним (66), 29-Мрт-21, 12:01
Зевнул. Уже даже не смешно. Норма для ноды, руби и прочих растов с композерами.
Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	+/–
	Сообщение от Аноним (15), 29-Мрт-21, 12:12
	Дело не в ноде, а коде inet_aton на C который изначально нарушал стандарт.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Уязвимость в NPM-пакете node-netmask, применяемом в 270 тыся..."	+2 +/–
	Сообщение от Аноним (25), 29-Мрт-21, 12:29
	Именно - дело в коде.
	Ответить \| Правка \| Наверх \| Cообщить модератору