forum.opennet.ru - "Обход верификации в библиотеке xml-crypto, насчитывающей миллион загрузок в неделю" (15)

"Обход верификации в библиотеке xml-crypto, насчитывающей миллион загрузок в неделю"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Обход верификации в библиотеке xml-crypto, насчитывающей миллион загрузок в неделю"	+/–
Сообщение от opennews (?), 03-Май-24, 23:22
В JavaScript-библиотеке xml-crypto, используемой в качестве зависимости у 402 проектов и загружаемой из каталога NPM около миллиона раз каждую неделю, выявлена уязвимость (CVE-2024-32962), которой присвоен максимальный уровень опасности (10 из 10). Библиотека предоставляет функции для шифрования и верификации по цифровой подписи XML-документов. Уязвимость даёт возможность атакующему заверить фиктивный документ, который в конфигурации по умолчанию будет успешно верифицирован библиотекой, несмотря на то, что он подписан не тем ключом, что указан для проверки подписей. Проблема проявляется начина с версии xml-crypto 4.0.0 и без лишней огласки устранена в январском выпуске 6.0.0... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61112
Ответить \| Правка \| Cообщить модератору

Оглавление

ай хорошо, молодцы малпы, показательно, penetrator (?), 23:22 , 03-Май-24, (1) +1
Миллион дыр в неделю, только вдумайтесь, Герострат (?), 23:25 , 03-Май-24, (2)

нет, миллион коммитов в корявых CI, которые выкачивают каждый раз эту нишевую ли, кент кента (?), 21:23 , 04-Май-24, (21)

Плюсовики не отстают https github com PowerDNS pdns issues 12234Тихонько прикр, Аноним (3), 23:49 , 03-Май-24, (3) –5
Все ругали это в C и C , но видимо скоро вернемся к тому от чего ушли - к подкл, Аноним (6), 00:47 , 04-Май-24, (6)

Простите, и как бы это помогло от уязвимости в описываемом случае Скорее наоборо, Аноним (3), 01:41 , 04-Май-24, (8) +6
А она и не решаема Неужели ли непонятно, что каждая зависимость это даже не то , Прадед (?), 02:50 , 04-Май-24, (12) +1

Судя по коммиту, там даже и не сразу поняли, что это уязвимость Коммит отправл, анонка (?), 01:46 , 04-Май-24, (9) –1
Лишь бы gpg ssh не использовать , Аноним (11), 02:34 , 04-Май-24, (11) –1
Багофича для выявления тех, кто код не тестирует и тех, кто тестирует толь, vitalif (ok), 09:51 , 04-Май-24, (15) +1

Если код компилируется значит работает tm , Аноним (17), 10:29 , 04-Май-24, (17)

Т е по мнению сообщество xz это злонамеренный троян А тут просто чудовищная ош, Аноним (17), 10:31 , 04-Май-24, (18)

Сравнение с xz было б более уместно, если здесь тоже был удаленный доступ к сист, Аноним (20), 11:22 , 04-Май-24, (20)

Хорошо, хоть только сейчас огласили, выждали время А разработчики, проектные мен, Lui Kang (?), 10:52 , 04-Май-24, (19) +1
Пишите заголовки правильно - не в библиотеке xml-crypto , а в javascript-библи, YetAnotherOnanym (ok), 15:11 , 05-Май-24, (22)

Сообщения [Сортировка по времени | RSS]

1. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..." +1 +/–

Сообщение от penetrator (?), 03-Май-24, 23:22

ай хорошо, молодцы малпы, показательно

Ответить | Правка | Наверх | Cообщить модератору

2. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..." +/–

Сообщение от Герострат (?), 03-Май-24, 23:25

Миллион дыр в неделю, только вдумайтесь

Ответить | Правка | Наверх | Cообщить модератору

21. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..." +/–

Сообщение от кент кента (?), 04-Май-24, 21:23

>Миллион дыр в неделю
нет, миллион коммитов в корявых CI, которые выкачивают каждый раз эту нишевую либу по-новой.
не думаю, что на планете много проектов где на жабоскрипте проверяют подписи в XMLях

Ответить | Правка | Наверх | Cообщить модератору

3. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..." –5 +/–

Сообщение от Аноним (3), 03-Май-24, 23:49

> Проблема проявляется начина с версии xml-crypto 4.0.0 и без лишней огласки устранена в январском выпуске 6.0.0.
Плюсовики не отстают https://github.com/PowerDNS/pdns/issues/12234
Тихонько прикрыли гигадырень, и решили не упоминать об этом в release notes https://doc.powerdns.com/authoritative/changelog/4.9.html

Ответить | Правка | Наверх | Cообщить модератору

6. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..." +/–

Сообщение от Аноним (6), 04-Май-24, 00:47

Все ругали это в C и C++, но видимо скоро вернемся к тому от чего ушли - к подключению зависимостей папочками в проекте. Иначе проблема безопасности публичных репозиториев по-видимому не решаема.

Ответить | Правка | Наверх | Cообщить модератору

8. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..." +6 +/–

Сообщение от Аноним (3), 04-Май-24, 01:41

Простите, и как бы это помогло от уязвимости в описываемом случае?
Скорее наоборот, остались бы несколько сотен проектов, авторам которых было недосуг скачивать версию с прикрытой дырой себе в папочку™.

Ответить | Правка | Наверх | Cообщить модератору

12. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..." +1 +/–

Сообщение от Прадед (?), 04-Май-24, 02:50

А она и не решаема. Неужели ли непонятно, что каждая зависимость это даже не то чтобы дыра, там лишь бы оно вообще работало. Безопасность там вообще аут оф скоуп. Это вообще отдельный жанр.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

9. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..." –1 +/–

Сообщение от анонка (?), 04-Май-24, 01:46

Судя по коммиту, там даже и не сразу поняли, что это уязвимость). Коммит отправлен в январе, а отчёт о дыре отправлен пару дней назад.
Там и переменные называются максимально похоже, подозреваю, что автор просто перепутал. Хотя там тесты есть и они вроде как работали. ЧТо тестировали тогда?

Ответить | Правка | Наверх | Cообщить модератору

11. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..." –1 +/–

Сообщение от Аноним (11), 04-Май-24, 02:34

>Библиотека предоставляет функции для шифрования и верификации по цифровой подписи XML-документов.
Лишь бы gpg/ssh не использовать.

Ответить | Правка | Наверх | Cообщить модератору

15. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..." +1 +/–

Сообщение от vitalif (ok), 04-Май-24, 09:51

Багофича ) для выявления тех, кто код не тестирует ))) и тех, кто тестирует только успешную валидацию, а неуспешную не проверяет))

Ответить | Правка | Наверх | Cообщить модератору

17. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..." +/–

Сообщение от Аноним (17), 04-Май-24, 10:29

Если код компилируется значит работает (tm)

Ответить | Правка | Наверх | Cообщить модератору

18. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..." +/–

Сообщение от Аноним (17), 04-Май-24, 10:31

Т.е. по мнению сообщество xz это злонамеренный троян. А тут просто чудовищная ошибка? И у этой ошибки нет ни имени ни адреса? И вообще никто не виноват.

Ответить | Правка | Наверх | Cообщить модератору

20. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..." +/–

Сообщение от Аноним (20), 04-Май-24, 11:22

Сравнение с xz было б более уместно, если здесь тоже был удаленный доступ к системе или похожее.

Ответить | Правка | Наверх | Cообщить модератору

19. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..." +1 +/–

Сообщение от Lui Kang (?), 04-Май-24, 10:52

> Проблема проявляется начина с версии xml-crypto 4.0.0 и без лишней огласки устранена в январском выпуске 6.0.0.
Хорошо, хоть только сейчас огласили, выждали время.
А разработчики, проектные менеджеры и руководство компаний часто пренебрегает обновлениями компонентов. А это нужно делать регулярно.

Ответить | Правка | Наверх | Cообщить модератору

22. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..." +/–

Сообщение от YetAnotherOnanym (ok), 05-Май-24, 15:11

> загружаемой из каталога NPM
Пишите заголовки правильно - не "в библиотеке xml-crypto", а "в javascript-библиотеке xml-crypto", чтобы сразу было понятно, из-под какой коровы удобрение.
И чтоб два раза не вставать - вот это умиляет (https://www.npmjs.com/package/xml-crypto):
> A pre requisite it to have openssl installed and its /bin to be on the system path
Ну, то есть, вы поняли - оно не либу дёргает за API, а бинарник запускает.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."	+1 +/–
Сообщение от penetrator (?), 03-Май-24, 23:22
ай хорошо, молодцы малпы, показательно
Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."	+/–
Сообщение от Герострат (?), 03-Май-24, 23:25
Миллион дыр в неделю, только вдумайтесь
Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."	+/–
	Сообщение от кент кента (?), 04-Май-24, 21:23
	>Миллион дыр в неделю нет, миллион коммитов в корявых CI, которые выкачивают каждый раз эту нишевую либу по-новой. не думаю, что на планете много проектов где на жабоскрипте проверяют подписи в XMLях
	Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."	–5 +/–
Сообщение от Аноним (3), 03-Май-24, 23:49
> Проблема проявляется начина с версии xml-crypto 4.0.0 и без лишней огласки устранена в январском выпуске 6.0.0. Плюсовики не отстают https://github.com/PowerDNS/pdns/issues/12234 Тихонько прикрыли гигадырень, и решили не упоминать об этом в release notes https://doc.powerdns.com/authoritative/changelog/4.9.html
Ответить \| Правка \| Наверх \| Cообщить модератору

6. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."	+/–
Сообщение от Аноним (6), 04-Май-24, 00:47
Все ругали это в C и C++, но видимо скоро вернемся к тому от чего ушли - к подключению зависимостей папочками в проекте. Иначе проблема безопасности публичных репозиториев по-видимому не решаема.
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."	+6 +/–
	Сообщение от Аноним (3), 04-Май-24, 01:41
	Простите, и как бы это помогло от уязвимости в описываемом случае? Скорее наоборот, остались бы несколько сотен проектов, авторам которых было недосуг скачивать версию с прикрытой дырой себе в папочку™.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."	+1 +/–
	Сообщение от Прадед (?), 04-Май-24, 02:50
	А она и не решаема. Неужели ли непонятно, что каждая зависимость это даже не то чтобы дыра, там лишь бы оно вообще работало. Безопасность там вообще аут оф скоуп. Это вообще отдельный жанр.
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору

9. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."	–1 +/–
Сообщение от анонка (?), 04-Май-24, 01:46
Судя по коммиту, там даже и не сразу поняли, что это уязвимость). Коммит отправлен в январе, а отчёт о дыре отправлен пару дней назад. Там и переменные называются максимально похоже, подозреваю, что автор просто перепутал. Хотя там тесты есть и они вроде как работали. ЧТо тестировали тогда?
Ответить \| Правка \| Наверх \| Cообщить модератору

11. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."	–1 +/–
Сообщение от Аноним (11), 04-Май-24, 02:34
>Библиотека предоставляет функции для шифрования и верификации по цифровой подписи XML-документов. Лишь бы gpg/ssh не использовать.
Ответить \| Правка \| Наверх \| Cообщить модератору

15. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."	+1 +/–
Сообщение от vitalif (ok), 04-Май-24, 09:51
Багофича ) для выявления тех, кто код не тестирует ))) и тех, кто тестирует только успешную валидацию, а неуспешную не проверяет))
Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."	+/–
	Сообщение от Аноним (17), 04-Май-24, 10:29
	Если код компилируется значит работает (tm)
	Ответить \| Правка \| Наверх \| Cообщить модератору

18. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."	+/–
Сообщение от Аноним (17), 04-Май-24, 10:31
Т.е. по мнению сообщество xz это злонамеренный троян. А тут просто чудовищная ошибка? И у этой ошибки нет ни имени ни адреса? И вообще никто не виноват.
Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."	+/–
	Сообщение от Аноним (20), 04-Май-24, 11:22
	Сравнение с xz было б более уместно, если здесь тоже был удаленный доступ к системе или похожее.
	Ответить \| Правка \| Наверх \| Cообщить модератору

19. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."	+1 +/–
Сообщение от Lui Kang (?), 04-Май-24, 10:52
> Проблема проявляется начина с версии xml-crypto 4.0.0 и без лишней огласки устранена в январском выпуске 6.0.0. Хорошо, хоть только сейчас огласили, выждали время. А разработчики, проектные менеджеры и руководство компаний часто пренебрегает обновлениями компонентов. А это нужно делать регулярно.
Ответить \| Правка \| Наверх \| Cообщить модератору

22. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."	+/–
Сообщение от YetAnotherOnanym (ok), 05-Май-24, 15:11
> загружаемой из каталога NPM Пишите заголовки правильно - не "в библиотеке xml-crypto", а "в javascript-библиотеке xml-crypto", чтобы сразу было понятно, из-под какой коровы удобрение. И чтоб два раза не вставать - вот это умиляет (https://www.npmjs.com/package/xml-crypto): > A pre requisite it to have openssl installed and its /bin to be on the system path Ну, то есть, вы поняли - оно не либу дёргает за API, а бинарник запускает.
Ответить \| Правка \| Наверх \| Cообщить модератору