форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В Node.js устранена опасная уязвимость"	+/–
Сообщение от opennews (??) on 19-Окт-13, 21:59
В очередных обновлениях серверной JavaScript-платформы Node.js 0.10.21 (http://blog.nodejs.org/2013/10/18/node-v0-10-21-stable/) и 0.8.26 (http://blog.nodejs.org/2013/10/18/node-v0-8-26-maintenance/) устранена опасная уязвимость, затрагивающая реализацию встроенного http-сервера. Всем пользователям  Node.js рекомендуется как можно скорее установить обновление. В анонсе не сообщаются детали о характере уязвимости, но судя по внесённым изменениям (https://github.com/joyent/node/commit/085dd30e93da67362f044a...) проблема может привести (https://news.ycombinator.com/item?id=6574624) к переполнению буфера через отправку определённым образом сформированного потока http pipeline-запросов. Как минимум указанная уязвимость даёт возможность легко вызвать удалённый отказ в обслуживании (прототип эксплоита (https://github.com/joyent/node/blob/085dd30e93da67362f044ad1...)). URL: http://blog.nodejs.org/2013/10/18/node-v0-10-21-stable/ Новость: http://www.opennet.dev/opennews/art.shtml?num=38207
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

2. "В Node.js устранена опасная уязвимость"	+/–
Сообщение от Пиу (ok) on 19-Окт-13, 22:08
> может привести к переполнению буфера Переполнение буфера (Buffer Overflow) — явление, возникающее, когда компьютерная программа записывает данные за пределами выделенного в памяти буфера. (wiki) --- а в этом случае я так понимаю просто DDoS
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "В Node.js устранена опасная уязвимость"	+/–
	Сообщение от оНаним on 19-Окт-13, 22:40
	Ну да. Так и написано > Как минимум указанная уязвимость даёт возможность легко вызвать удалённый отказ в обслуживании
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "В Node.js устранена опасная уязвимость"	+1 +/–
	Сообщение от Ordu (ok) on 19-Окт-13, 23:10
	> а в этом случае я так понимаю просто DDoS Не DDoS, а DoS. Без "distributed." Путём переполнения буфера, кладётся серверный процесс. Обслуживание клиентов прекращается вплоть до перезапуска процесса.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	6. "В Node.js устранена опасная уязвимость"	+1 +/–
	Сообщение от Reinar (ok) on 20-Окт-13, 10:38
	Потенциально такие уязвимости всегда оцениваются как RCE (remote code execution), но т.к на практике его удаётся достичь далеко не всегда, то и написали DoS - который можно вызвать гарантированно.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "В Node.js устранена опасная уязвимость"	–2 +/–
Сообщение от Аноним (??) on 20-Окт-13, 14:12
Встроенный веб-сервер в продакшене - отличительный костыль node.js
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	8. "В Node.js устранена опасная уязвимость"	+2 +/–
	Сообщение от piteri (ok) on 20-Окт-13, 15:21
	Это не костыль, с этого всё и началось.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "В Node.js устранена опасная уязвимость"	+/–
	Сообщение от Омномом on 20-Окт-13, 16:43
	Всё началось с того, что не смогли установить Nginx? ))
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "В Node.js устранена опасная уязвимость"	+1 +/–
	Сообщение от piteri (ok) on 20-Окт-13, 18:48
	Типа того. Сделать из v8 модуль к apache или nginx они не осилили и сделали шиворот-навыворот.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "В Node.js устранена опасная уязвимость"	+/–
	Сообщение от angra (ok) on 20-Окт-13, 21:14
	Зачем делать заведомо неправильную вещь? Практика давно показала, что mod_ЯП куда хуже, чем отдельный процесс ЯП.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	13. "В Node.js устранена опасная уязвимость"	+1 +/–
	Сообщение от piteri (ok) on 21-Окт-13, 11:12
	Чья практика? Чем хуже? Неужели хуже чем встроенный в ЯП сервер?
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	12. "В Node.js устранена опасная уязвимость"	+1 +/–
	Сообщение от angra (ok) on 20-Окт-13, 21:16
	Попробуй аргументировать почему это плохо, предложи лучшие альтернативы. Заодно посмотри, что делают в других фреймворках, и удивись.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	14. "В Node.js устранена опасная уязвимость"	+/–
	Сообщение от piteri (ok) on 21-Окт-13, 21:54
	Это не очевидно?
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "В Node.js устранена опасная уязвимость"	+/–
Сообщение от Аноним (??) on 23-Окт-13, 15:27
В чому проблема із nodejs http модулем? Ви тут що наглухо відбиті уже...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "В Node.js устранена опасная уязвимость"	+/–
Сообщение от Аноним (??) on 20-Ноя-14, 01:34
Некро-камент: ------------------------ ngx_v8 - для Ngnix mod-v8js - для Apache   и нафиг выбрасывать голожопые HTTP-сервера на JS вы бы еще IIS поставили...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	17. "В Node.js устранена опасная уязвимость"	+/–
	Сообщение от Аноним (??) on 14-Янв-15, 22:10
	Некро-ответ: ------------------ Node - это инфраструктура и огромное сообщество. Указанным модулям даже не снится такое.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема