Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в Python-пакете Js2Py, загружаемого более миллиона раз в месяц"	+/–
Сообщение от opennews (?), 22-Июн-24, 22:42
В Python-пакете Js2Py, который был загружен в прошлом месяце 1.2 млн раз, выявлена уязвимость (CVE-2024-28397), позволяющая обойти sandbox-изоляцию и выполнить код в системе при обработке специально оформленных данных на JavaScript. Уязвимость может использоваться для атаки на программы,  применяющие Js2Py для выполнения JavaScript-кода. Исправление пока доступно только в виде патча. Для проверки возможности атаки подготовлен прототип эксплоита... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61421
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от дАнон (?), 22-Июн-24, 22:42	+/–
зато удобный сервис юзали
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

3. Сообщение от YetAnotherOnanym (ok), 22-Июн-24, 23:01	+12 +/–
ЖС с питоном - это и есть то самое "что-то с чем-то".
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #6, #12

4. Сообщение от Perlovka (ok), 22-Июн-24, 23:49	+10 +/–
>ЖС с питоном Буквально - имела жаба питона ©
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

5. Сообщение от Аноним (-), 23-Июн-24, 01:44	+1 +/–
> зато удобный сервис юзали Ну это смотря кому - удобный. Хотя такая забота о атакующем это похвально, конечно. Вот все бы так!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #10

6. Сообщение от Аноним (-), 23-Июн-24, 01:46	+8 +/–
> ЖС с питоном - это и есть то самое "что-то с чем-то". Жаба, хоть и скриптовая, наконец таки слилась в экстазе с гадюкой...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

9. Сообщение от Аноним (10), 23-Июн-24, 09:35	+1 +/–
Сейчас 2024 год кто не в курсе. Запускать что то вне контейнера в вируалке уже давно моветон. Кто так не делает тот сам Буратино. И это без относительно специально добавили уязвимость или нет. Вы же качаете васянопакеты из ненадёжного источника. Там прицепом ещё парочка таких же уязвимостей прилетает о которых ещё никто не знает.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

10. Сообщение от Аноним (10), 23-Июн-24, 09:47	+/–
Всё для наших китайских друзей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

11. Сообщение от Ydro (?), 23-Июн-24, 10:42	+1 +/–
Подскажите, пожалуйста, для запуска этого, но чтобы ещё в PHP обернуть, а потом в Perl, какая серия IBM Z подойдёт, у меня простой сайт одностраничник?
Ответить | Правка | Наверх | Cообщить модератору

12. Сообщение от Аноним (12), 23-Июн-24, 12:44	–1 +/–
> ЖС с питоном - это и есть то самое "что-то с чем-то". Увидел знакомые слова - и обязательно надо что-то ляпнуть, да?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #13

13. Сообщение от Аноним (13), 23-Июн-24, 12:49	+/–
>> ЖС с питоном - это и есть то самое "что-то с чем-то". > Увидел знакомые слова - и обязательно надо что-то ляпнуть, да? Ты будто первый раз на опеннете.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

16. Сообщение от Аноним (16), 23-Июн-24, 15:24	+/–
> вне контейнера в вируалке уже давно моветон. Хорошая опечатка, прям по фрейду. Как там вирусы в вируалке? Множатся? Не обижаются на упаковку в контейнеры? :) > Вы же качаете васянопакеты из ненадёжного источника. Не, это вы качаете какой-то треш из своих pipi или что там у вас еще за карго(-культы). А я - только пакеты от майнтайнеров, с проверкой интегрити что это и правда - от них.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

21. Сообщение от Mim (ok), 24-Июн-24, 13:33	+/–
> Примечательно, что изменение с устранением уязвимости было отправлено в проект Js2Py первого марта, но за три с половиной месяца так и не было принято. Судя по истории изменений — проект заброшен. Последний коммит был в ноябре 2022-го. https://github.com/PiotrDabkowski/Js2Py/branches/all
Ответить | Правка | Наверх | Cообщить модератору

22. Сообщение от Аноним (22), 26-Июн-24, 17:22	+/–
С самого начала было известно что любые песочницы фундаментально дырявы (см. невычислимые функции и проблему останова). А альтернатива только одна - не пользоваться вредоносными сайтами: ютьюбом и любой малварью с клаудфларью. Собсвенно, именно за это (чтобы мы их оставили в покое) эти сайты и борются. С радостью удовлетворим их пожелание. Весь контент оттуда сначала только скопируем, а потом прикопаем.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23, #24

23. Сообщение от Аноним (22), 26-Июн-24, 17:28	+/–
https://github.com/ytdl-org/youtube-dl/blob/master/youtube_d...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

24. Сообщение от Аноним (-), 26-Июн-24, 20:01	+/–
> С радостью удовлетворим их пожелание. Весь контент оттуда сначала только скопируем А копировалка не отвалится от усилий? Тут же надо не только грабануть, но и награбленное удержать. Не думаю что Сообщества-пиратов-и-какиров хватит подкроватных серваков на весь ютуб. А если пойдут в датацентр с ворованным, то может и маски шоу случиться. Ну как по телевизору тутеритунба-тутеритунда > а потом прикопаем. Ахахаха! «Ай, Моська! знать она сильна, Что лает на Слона!»
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема