The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +/
Сообщение от opennews (ok), 16-Дек-19, 12:57 
В обновлении пакетного менеджера NPM 6.13.4, входящего в поставку Node.js и применяемого для распространения модулей на языке JavaScript, устранены три уязвимости (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), позволяющие модифицировать или перзаписать произвольные системные файлы при установке пакета, подготовленного злоумышленником. В качестве обходного пути защиты может быть установка с опцией "--ignore-scripts", запрещающей выполнение встроенных пакеты обработчиков. Разработчики NPM проанализирвали имеющиеся в репозитории пакеты и не нашли следов использования  выявленных проблем для совершения атак...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52043

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +3 +/
Сообщение от JL2001 (ok), 16-Дек-19, 12:57 
ненене, репозиториям мы доверяем! и без запуска установочных скриптов в пакетах никак не возможно устанавливать пакеты!! только так!!!
а то иначе получатся какие-то простигоспади rpm-юнит-файлы и installd, а этого мы допустить никак не можем!!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +13 +/
Сообщение от Аноним (2), 16-Дек-19, 13:04 
Как будто в .rpm нет скриптов.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

16. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  –1 +/
Сообщение от JL2001 (ok), 16-Дек-19, 16:00 
> Как будто в .rpm нет скриптов.

как будто это что-то хорошее

лучше бы возразили что в юнитфайлах иногда таки не удаётся без скриптов

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

25. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +2 +/
Сообщение от Аноним (25), 16-Дек-19, 16:37 
> как будто это что-то хорошее

как будто это что-то плохое

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

29. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +4 +/
Сообщение от Crazy Alex (ok), 16-Дек-19, 17:27 
Ну да, доверяем, а что? Правда, между репозиториями и NPM всё-таки, видать, есть какое-то различие - что-то я о зловредах в дебиане или там центоси не слышал.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

31. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  –1 +/
Сообщение от Аноним (31), 16-Дек-19, 17:55 
Нет антивируса - нет вируса. Пока гром не грянет мужик не узнает про существование грома. Незнание - сила.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

37. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +/
Сообщение от JL2001 (ok), 16-Дек-19, 20:22 
> Ну да, доверяем, а что? Правда, между репозиториями и NPM всё-таки, видать,
> есть какое-то различие - что-то я о зловредах в дебиане или
> там центоси не слышал.

если вы не видете суслика, это всего лишь значит, что он хорошо маскируется
оглянитесь вокруг - некоторые люди злы и порочны, вам хватит ровно одного
такого, который скажет мантейнеру, что он знает где учится его маленькая дочка

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

3. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +6 +/
Сообщение от Грусть (?), 16-Дек-19, 13:05 
Ха, а то, что эти скрипты зачастую блоб не пойми откуда скачивают - это уже мелочи :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +3 +/
Сообщение от Аноним (15), 16-Дек-19, 15:08 
Блоб не пойми откуда ничем не хуже обычного JS-кода не пойми откуда. И то и то требует доверия к разработчику модуля. На этом доверии всё и строится
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  –1 +/
Сообщение от Грусть (?), 16-Дек-19, 13:07 
Скриптов быть не должно. Если надо что-то заскриптовать, это должно делаться при запуске сервиса или ином использовании пакета. Как IPS в солярке или как всё в nixos.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +2 +/
Сообщение от ЧЯДНТ (?), 16-Дек-19, 13:53 
Сейчас придут адепты GNU Guix.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

19. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +/
Сообщение от JL2001 (ok), 16-Дек-19, 16:04 
> Сейчас придут адепты GNU Guix.

и что они раскажут?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

39. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +1 +/
Сообщение от Аноним (39), 16-Дек-19, 21:24 
Что всё есть guile.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

10. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +/
Сообщение от Аноним (15), 16-Дек-19, 14:32 
В npm не только скрипты на JS, но и нативные модули/библиотеки, которым требуется компиляция
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

11. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  –1 +/
Сообщение от Тоска (?), 16-Дек-19, 14:37 
Поэтому они и тянут блобы. NPM не может заменить системный пакетный менеджер. А они пытается. Результат - на лице.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +/
Сообщение от Аноним (15), 16-Дек-19, 14:51 
Пытается заменить только при глобальной установке с `-g`, и тут я с вами в основном согласен.

Но основной кейс иcпользования npm - локальная установка в каталог проекта в `node_modules` и локальный bin в `node_modules/.bin` и тут пакетный менеджер никак не может быть заменой с учётом транзитивных зависимостей разных версий в пределах одного проекта, а это распространённое явление при использовании "больших" зависимостей типа реакта, бабеля и т.п.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

20. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +/
Сообщение от JL2001 (ok), 16-Дек-19, 16:08 
> Поэтому они и тянут блобы. NPM не может заменить системный пакетный менеджер.
> А они пытается. Результат - на лице.

результат не потому
а потому что при запуске чего-то есть шанс что это чего-то начнёт себя вести нехорошо
тоесть и запуск установленной программы, и её установка, и сборка её бинарного пакета должны проходить в ограниченых окружениях

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

5. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  –1 +/
Сообщение от Аноним (5), 16-Дек-19, 13:23 
Запускать npm с sudo - это выстрел в ногу.
Node с npm должны быть установлены только в хомяке (через nvm).
Никогда не понимал установку ноды из репозиториев.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +1 +/
Сообщение от ЧЯДНТ (?), 16-Дек-19, 13:36 
... в контейнере на вриталке без доступа к локальной сети
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +/
Сообщение от Антон (??), 16-Дек-19, 14:25 
это скорее не проблема npm, а sudo, который слишком много позволяет
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

17. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +1 +/
Сообщение от JL2001 (ok), 16-Дек-19, 16:01 
> Запускать npm с sudo - это выстрел в ногу.
> Node с npm должны быть установлены только в хомяке (через nvm).
> Никогда не понимал установку ноды из репозиториев.

а rpm с sudo значит можно?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

22. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +2 +/
Сообщение от Аноним (5), 16-Дек-19, 16:20 
NPM та еще помойка, оф.репы как-то больше вызывают доверия.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

33. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +/
Сообщение от JL2001 (ok), 16-Дек-19, 18:25 
> NPM та еще помойка, оф.репы как-то больше вызывают доверия.

но почему? люди и там и там - уходят проверенные и приходят новые
а ещё у них время выплаты кредита тикает

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

40. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +1 +/
Сообщение от Аноним (39), 16-Дек-19, 21:27 
В npm отсутствует вообще какой-либо контроль приходящих людей. В дистрибутивах с этим получше, там доказать квалификацию нужно, и, зачастую, личность подтвердить. Все майнтейнеры Debian, скажем, известны поимённо, а что за васян очередной лефтпад в npm залил — поди разберись.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

34. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +1 +/
Сообщение от Аноним (34), 16-Дек-19, 18:58 
Какая разница? Вы полагаете у юзера мало прав? У типичного юзер 99% прав рута и это хорошо если судо ещё не используется для всего, с судо и последний процент исчезает.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +/
Сообщение от Аноним (7), 16-Дек-19, 13:46 
Если к npm-пакетам нет доверия, так что нельзя позволять им работать с произвольными файлами в установочных скриптах, значит не следует вообще устанавливать npm-пакеты.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +1 +/
Сообщение от JL2001 (ok), 16-Дек-19, 16:03 
> Если к npm-пакетам нет доверия, так что нельзя позволять им работать с
> произвольными файлами в установочных скриптах, значит не следует вообще устанавливать
> npm-пакеты.

а как вы вообще определяете каким пакетам доверять, а каким - нет?
зы: из зала ещё подсказывают, что скрипты при установке можно и из сети скачать

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

26. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +/
Сообщение от Аноним (25), 16-Дек-19, 16:38 
> а как вы вообще определяете каким пакетам доверять, а каким - нет?

По исходному коду

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

28. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +/
Сообщение от Аноним (15), 16-Дек-19, 16:49 
Часть пакетов написана на TypeScript и перед публикацией в npm транспилится в JS и минифицируется. Такой транспилированный код вы тоже проверяете на соответствие TypeScript-коду?
Не говоря о том, что в npm можно залить совсем не тот код, который лежит в VCS.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

41. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +1 +/
Сообщение от К.О. (?), 16-Дек-19, 21:29 
Если проверить нельзя, значит, и доверять такому коду нельзя.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

46. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +/
Сообщение от Аноним (46), 17-Дек-19, 23:08 
транспишяция должна быть частью npm, а не говноскриптами. Скажу больше, по-моему node должен уметь в typescript без транспиляции, нативно. Как и JS-движки. Это позволит им лучше оптимизировать код.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

35. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +/
Сообщение от JL2001 (ok), 16-Дек-19, 20:14 
>> а как вы вообще определяете каким пакетам доверять, а каким - нет?
> По исходному коду

серьёзно?
можно я буду Вам поклоняться, мой Бог? Всезнающий и Всепонимающий

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

12. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +/
Сообщение от anonymous (??), 16-Дек-19, 14:40 
Какой-то идиотизм. Очевидное же решение - распаковать файлы внутри firejail, там же скомпилять, а потом готовое скопировать, при попытке переписать существующий файл - откат копирования и фейл. Давно уже все необходимые утилиты существуют, почему дистрописатели не используют их?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  –1 +/
Сообщение от Аноним (14), 16-Дек-19, 14:57 
Это молодая система, подождите...
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

24. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +/
Сообщение от Аноним (15), 16-Дек-19, 16:32 
Сам npm cli не сказать что быстро развивается в плане новых фич. Не думаю, что сейчас есть ресурсы на это, особенно если учесть, что npm кроссплатформенный.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

27. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +/
Сообщение от Аноним (25), 16-Дек-19, 16:39 
Потому что firejail не обязан быть везде установлен.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

30. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +2 +/
Сообщение от Аноним (30), 16-Дек-19, 17:46 
мало того, что у них какие то пакеты для жыеса устанавливаются в обход системного менеджера, так еще и сам установщик устанавливается в обход установщика?
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

36. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +/
Сообщение от JL2001 (ok), 16-Дек-19, 20:18 
> Потому что firejail не обязан быть везде установлен.

а жаль

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

45. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +/
Сообщение от gogo (?), 16-Дек-19, 23:38 
Какой jail? Какого перца тащить в систему все говно без разбору, а потом разбирать, что за говно притащили?..
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

21. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +/
Сообщение от Аноним (21), 16-Дек-19, 16:12 
Помнити лифпад!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +/
Сообщение от Аноним (5), 16-Дек-19, 16:21 
Ловите С89-хипстера!
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

32. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +/
Сообщение от Аноним (31), 16-Дек-19, 17:58 
Может кто-то уже догадается сделать npm с пакетами проверенными вручную. Да даже за деньги. Red Hat IBM NPM Registry Cloud Enterprise Services. Идею дарю.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

44. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +/
Сообщение от gogo (?), 16-Дек-19, 23:35 
Наверняка кто-то пробовал. И наверняка они разорились на мятно-имбирных таблетках от тошноты для проверяющих...
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

42. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  –1 +/
Сообщение от Michael Shigorinemail (ok), 16-Дек-19, 22:42 
Шо, опять?!

// серебряные пули, небитые, некрашеные, пользовалась девушка...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Уязвимость в NPM, позволяющая изменить произвольные файлы пр..."  +/
Сообщение от gogo (?), 16-Дек-19, 23:33 
Проблема ведь не в том, что скрипт пакета может что-то злонамеренно переписать.
Проблема в том, что такую возможность рассматривают как вполне вероятную и пытаются от неё защититься!
Сравнивая с .rpm, КАК можно пользоваться системой, где вероятность распространения злонамеренного кода _теоретически_ НЕ может быть сведена к нулю?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру