The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в Python-пакете Js2Py, загружаемого более миллиона раз в месяц"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в Python-пакете Js2Py, загружаемого более миллиона раз в месяц"  +/
Сообщение от opennews (?), 22-Июн-24, 22:42 
В Python-пакете Js2Py, который был загружен в прошлом месяце 1.2 млн раз, выявлена уязвимость (CVE-2024-28397), позволяющая обойти sandbox-изоляцию и выполнить код в системе при обработке специально оформленных данных на JavaScript. Уязвимость может использоваться для атаки на программы,  применяющие Js2Py для выполнения JavaScript-кода. Исправление пока доступно только в виде патча. Для проверки возможности атаки подготовлен прототип эксплоита...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61421

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в Python-пакете Js2Py, загружаемого более миллион..."  +/
Сообщение от дАнон (?), 22-Июн-24, 22:42 
зато удобный сервис юзали
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в Python-пакете Js2Py, загружаемого более миллион..."  +1 +/
Сообщение от Аноним (-), 23-Июн-24, 01:44 
> зато удобный сервис юзали

Ну это смотря кому - удобный. Хотя такая забота о атакующем это похвально, конечно. Вот все бы так!

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в Python-пакете Js2Py, загружаемого более миллион..."  +/
Сообщение от Аноним (10), 23-Июн-24, 09:47 
Всё для наших китайских друзей.  
Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в Python-пакете Js2Py, загружаемого более миллион..."  +12 +/
Сообщение от YetAnotherOnanym (ok), 22-Июн-24, 23:01 
ЖС с питоном - это и есть то самое "что-то с чем-то".
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в Python-пакете Js2Py, загружаемого более миллион..."  +10 +/
Сообщение от Perlovka (ok), 22-Июн-24, 23:49 
>ЖС с питоном

Буквально - имела жаба питона ©

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в Python-пакете Js2Py, загружаемого более миллион..."  +8 +/
Сообщение от Аноним (-), 23-Июн-24, 01:46 
> ЖС с питоном - это и есть то самое "что-то с чем-то".

Жаба, хоть и скриптовая, наконец таки слилась в экстазе с гадюкой...

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

12. "Уязвимость в Python-пакете Js2Py, загружаемого более миллион..."  –1 +/
Сообщение от Аноним (12), 23-Июн-24, 12:44 
> ЖС с питоном - это и есть то самое "что-то с чем-то".

Увидел знакомые слова - и обязательно надо что-то ляпнуть, да?

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

13. "Уязвимость в Python-пакете Js2Py, загружаемого более миллион..."  +/
Сообщение от Аноним (13), 23-Июн-24, 12:49 
>> ЖС с питоном - это и есть то самое "что-то с чем-то".
> Увидел знакомые слова - и обязательно надо что-то ляпнуть, да?

Ты будто первый раз на опеннете.

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в Python-пакете Js2Py, загружаемого более миллион..."  +1 +/
Сообщение от Аноним (10), 23-Июн-24, 09:35 
Сейчас 2024 год кто не в курсе. Запускать что то вне контейнера в вируалке уже давно моветон. Кто так не делает тот сам Буратино. И это без относительно специально добавили уязвимость или нет. Вы же качаете васянопакеты из ненадёжного источника. Там прицепом ещё парочка таких же уязвимостей прилетает о которых ещё никто не знает.
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в Python-пакете Js2Py, загружаемого более миллион..."  +/
Сообщение от Аноним (16), 23-Июн-24, 15:24 
> вне контейнера в вируалке уже давно моветон.

Хорошая опечатка, прям по фрейду. Как там вирусы в вируалке? Множатся? Не обижаются на упаковку в контейнеры? :)

> Вы же качаете васянопакеты из ненадёжного источника.

Не, это вы качаете какой-то треш из своих pipi или что там у вас еще за карго(-культы). А я - только пакеты от майнтайнеров, с проверкой интегрити что это и правда - от них.

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в Python-пакете Js2Py, загружаемого более миллион..."  +1 +/
Сообщение от Ydro (?), 23-Июн-24, 10:42 
Подскажите, пожалуйста, для запуска этого, но чтобы ещё в PHP обернуть, а потом в Perl, какая серия IBM Z подойдёт, у меня простой сайт одностраничник?
Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в Python-пакете Js2Py, загружаемого более миллион..."  +/
Сообщение от Mim (ok), 24-Июн-24, 13:33 
> Примечательно, что изменение с устранением уязвимости было отправлено в проект Js2Py первого марта, но за три с половиной месяца так и не было принято.

Судя по истории изменений — проект заброшен.
Последний коммит был в ноябре 2022-го.
https://github.com/PiotrDabkowski/Js2Py/branches/all

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в Python-пакете Js2Py, загружаемого более миллион..."  +/
Сообщение от Аноним (22), 26-Июн-24, 17:22 
С самого начала было известно что любые песочницы фундаментально дырявы (см. невычислимые функции и проблему останова). А альтернатива только одна - не пользоваться вредоносными сайтами: ютьюбом и любой малварью с клаудфларью. Собсвенно, именно за это (чтобы мы их оставили в покое) эти сайты и борются. С радостью удовлетворим их пожелание. Весь контент оттуда сначала только скопируем, а потом прикопаем.
Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в Python-пакете Js2Py, загружаемого более миллион..."  +/
Сообщение от Аноним (22), 26-Июн-24, 17:28 
https://github.com/ytdl-org/youtube-dl/blob/master/youtube_d...
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в Python-пакете Js2Py, загружаемого более миллион..."  +/
Сообщение от Аноним (-), 26-Июн-24, 20:01 
> С радостью удовлетворим их пожелание. Весь контент оттуда сначала только скопируем

А копировалка не отвалится от усилий?
Тут же надо не только грабануть, но и награбленное удержать.
Не думаю что Сообщества-пиратов-и-какиров хватит подкроватных серваков на весь ютуб.
А если пойдут в датацентр с ворованным, то может и маски шоу случиться.
Ну как по телевизору тутеритунба-тутеритунда

> а потом прикопаем.

Ахахаха!
«Ай, Моська! знать она сильна,
Что лает на Слона!»

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру