The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость, позволявшая выпустить обновление для любого пакета в репозитории NPM"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость, позволявшая выпустить обновление для любого пакета в репозитории NPM"  +/
Сообщение от opennews (ok), 16-Ноя-21, 13:52 
Компания GitHub раскрыла информацию о двух инцидентах в инфраструктуре репозитория пакетов NPM.  2 ноября сторонние исследователи безопасности (Kajetan Grzybowski и Maciej Piechota) в рамках программы Bug Bounty сообщили о наличии в репозитории NPM уязвимости, позволяющей опубликовать новую версию любого пакета, используя для этого неавторизированную учётную запись. Проблема была устранена через 6 часов после появления информации об уязвимости...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56167

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Какаянахренразница (ok), 16-Ноя-21, 13:52   +21 +/
> уязвимости, позволяющей опубликовать новую версию любого пакета

Снова, говорите? Нет, такого ещё не было. Никогда ещё $@#&%© не был таким полным.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #24

2. Сообщение от А где же каменты (?), 16-Ноя-21, 13:53   +11 +/
Что-то NPM часто светиться в новостях начал, никогда такого не было и вот опять!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #48

4. Сообщение от A.Stahl (ok), 16-Ноя-21, 14:00   +3 +/
>Никогда ещё $@#&%© не был таким полным.

О чём ты? Он всегда таким был.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #17

5. Сообщение от QwertyReg (ok), 16-Ноя-21, 14:10   –7 +/
Нашли дыру в NPM: никогда такого не было и вот опять! ужас! кошмар! веб-макаки!

Нашли дыру в ядре Linux: это другое! смотрите, как здорово, ищут, исправляют!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #7, #10, #13, #14

6. Сообщение от BratishkaErik (ok), 16-Ноя-21, 14:13   +3 +/
> GitHub утверждает, что следов совершения атак с использованием данной уязвимости с сентября 2020 года не зафиксировано.

Ну–ну! https://www.opennet.ru/opennews/art.shtml?num=56104

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39

7. Сообщение от Аноним (7), 16-Ноя-21, 14:21   +/
Не веб-макаки, а копирасты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

8. Сообщение от yet another anonymous (?), 16-Ноя-21, 14:30   +1 +/
Проблема не столько в инфраструктуре, сколько в самой концепции NPM: "мы за вас будем и управлять всей структурой пакетов, и отгрузим вам то, что вам нужно по своему усмотрению, ни о чём не заботьтесь". Реальный профит либо в рекламе, либо в коллекции информации.

На тех же принципах сделали r..st. И пытаются протащить это же в C++ modules.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #46

9. Сообщение от Аноним (33), 16-Ноя-21, 14:31   +/
>GitHub приняла решение ввести обязательную двухфакторную аутентификацию

Шли бы они в задницу со своими требованиями привязать телефон.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12, #16, #64

10. Сообщение от kusb (?), 16-Ноя-21, 14:33   +2 +/
Уязвимости есть много где, почти везде в программах, IT состоит из дыр, но NPM - зачастило.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

11. Сообщение от Enamel (ok), 16-Ноя-21, 14:45   +/
То ли дело репозитории дистров линукса, вот там-то точно всё хорошо, ведь мейнтейнеры святые люди.

Сама по себе концепция репозиториев - замечательно.
ЯП без дефолт менеджера - плохой язык. Модули в C++ - чудесно, текущая система с препроцессором - мрак. Но пока на них перейдут, будет уже какой-нибудь 2030.

А npm - какая-то пожизненная кривая хрень, тут да.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #19, #49, #65

12. Сообщение от Enamel (ok), 16-Ноя-21, 14:46   –2 +/
Это неплохая _дополнительная_ авторизация
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

13. Сообщение от Корец (?), 16-Ноя-21, 14:47   –3 +/
Сравни частоту новостей про то и то. И это я ещё не предлагаю сравнить нужность того и другого.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

14. Сообщение от Аноним (14), 16-Ноя-21, 14:52   +2 +/
Но вообще это насколько я понимаю это дыра в github, который сделал сервис автопубликации в npm из git
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

15. Сообщение от Извращенцы NPM (?), 16-Ноя-21, 14:58   +/
Вы морды этих SJW разрабатывающих npm виделы?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18

16. Сообщение от ноунейм (?), 16-Ноя-21, 15:11   –1 +/
Там нет никаких телефоном или TOTP или 2FA токен. Для всего этого есть опенсурсные приложения не десктоп/телефон и аппаратные токены.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #34

17. Сообщение от kusb (?), 16-Ноя-21, 15:24   +8 +/
А по моему нет, он заметно пополнел. Любая версия любого пакета.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

18. Сообщение от пох. (?), 16-Ноя-21, 15:45   +1 +/
Ну что ты, Петька, это рожи у них такие!
(Присмотревшись - а, нет, правда сраками пьют. Впрочем, они ими похоже еще много чего могут. Код писать, вот...)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #60

19. Сообщение от пох. (?), 16-Ноя-21, 15:51   +5 +/
Они может и не святые, но пока на троянском пакете в редхат-дебиан-генту никто не попался.

Наверное тысчегласс смотрит только в npm!

Яп не таскающий неведомую херню со всего интернета в хомяк разработчику, а использующий установленные глобально в систему библиотеки - хороший и правильный язык, не позволяющий вот так запросто превратить всю систему в помойку потому что макаке восхотелось распоследней версии ненужного лефтпада.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #33, #41

20. Сообщение от Аноним (20), 16-Ноя-21, 15:54   +6 +/
> Напомним, что в соответствии с проведённым в 2020 году исследованием, лишь 9.27% мэйнтенеров пакетов используют для защиты доступа двухфакторную аутентификацию, а в 13.37% случаев при регистрации новых учётных записей разработчики пытались повторно использовать скомпрометированные пароли, фигурирующие в известных утечках паролей.

Это диагноз. Тут двухфакторная авторизация не поможет. Этим людям просто наплевать на всех, такие пакеты надо удалять, а пользователей банить. Даёшь социальный рейтинг!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25, #43

22. Сообщение от Аноним (22), 16-Ноя-21, 15:57   +2 +/
Это смешно "обязательная двухфакторная аутентификация". А где вы раньше были?

Именно из-за вас её и пришлось отключить, потому что нельзя публиковать пакеты автоматически из GitHub / CI / CD.

Сами обос..лись, сами в заслугу себе ставят.

Ответить | Правка | Наверх | Cообщить модератору

24. Сообщение от Жироватт (ok), 16-Ноя-21, 16:12   +6 +/
(Хакер и солонка)^(90% прода на этой хрени)

В JS просто последние годы начали крутится привлекательные бабки - от него так просто с учётом всего стека уже не отказаться, так что такие уязвимости будут всплывать регулярно. Да, и такие полные. Смиритесь. Даже в хрустике - дело-то в самом подходе к формированию environment.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

25. Сообщение от Жироватт (ok), 16-Ноя-21, 16:24   +5 +/
- Э, слышь, админ, вот тебе конвертик, десяток борзых щенков, адресок того урода, называвшего тво. маму - женщиной с пониженной социальной ответственностью и звонок, после которого полицаи резко перестают тебя видеть, только накрути мне рейтинга до ★★★★★, а?
- Э, слышь, сисоп при суперкомпе, вот тебе по рылу р-р-р-раз, по яйцам - д-д-два, и маме с сестренкой по видеосвязи пару раз по лицу. Отстану, не пищи, только накрути мне рейтинга до ★★★★★, а?
- Э, слышь, кодерок базы, вот тебе, еще доза ультакакоина, а следущая...а следующая - не бесплатно! Оставь мне бекдорчик, рейтинг мне подкрутить до ★★★★★, а там я тебе еще ширева подгоню?
- Эй, пап, привет, я возьму твою учётку старшего зама руководителя ГБ на полчаса? Мне тут какой-то плебей рейтинг понизил по беспределу, хочу откатить ему до ★ и себе до ★★★★★.

Хрень, на самом деле, твой социальный рейтинг. Наоборот, увеличивающий простор для злоупотреблений.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #28, #29

26. Сообщение от Жироватт (ok), 16-Ноя-21, 16:30   –1 +/
Как определить реальную необходимость и важность технологии в мире на выбранный момент, не впадая в когнитивные искажения, репрезентативно и беспристрастно?

Количество уязвимостей, найденных и поправленных в единицу времени.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27

27. Сообщение от Аноним (27), 16-Ноя-21, 16:48   +/
А если все поголовно уязвимостей создают на порядки больше чем потом находят, как с сабжем?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

28. Сообщение от 73 (?), 16-Ноя-21, 16:50   +/
у людей часто так: кто-то хочет как лучше и делает лучше, но потом приходят 95% и извращают все хорошие, годные стороны себе в угоду
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

29. Сообщение от Аноноша (?), 16-Ноя-21, 17:27   +/
Осталось понять какое отношение все написанное имеет дело к сопровождению пакетов...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #31, #54

30. Сообщение от Аноним (30), 16-Ноя-21, 18:01   +1 +/
А NPM это что? Мне надо волноваться?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32, #57

31. Сообщение от Аноним (31), 16-Ноя-21, 18:12   +/
Непосредственное
Идея пакетного менеджера - хорошая
Реализация npm - такое себе
Пользователи npm - такие себе, средненькие

Вот и получается, что нужная и полезная идея реализована небрежно, используется неряхами и общий результат - гавно

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #58

32. Сообщение от Урри (ok), 16-Ноя-21, 18:15   +1 +/
Если не в курсе - значит точно надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

33. Сообщение от Аноним (33), 16-Ноя-21, 18:26   +2 +/
Дык, мейнтейнеры редхата-дебиана-генту - конкретные люди с конкретными публично известными ФИО. Залить кто попало в редхат-дебиан-генту пакет не может.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #37, #42

34. Сообщение от Аноним (33), 16-Ноя-21, 18:29   +1 +/
Ввёл на телефоне пароль, на нём же сгенерировал TOTP токен и ввёл его в GitHub. И то и другое спёр бэкдор, идущий в комплекте. Потом телефон накрылся, и ты остался без аккаунта. Д - двухfuckторность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #63

37. Сообщение от Аноним (37), 16-Ноя-21, 18:49   +/
Достаточно взломать аккуант этого ФИО
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #40

38. Сообщение от Михрютка (ok), 16-Ноя-21, 19:08   +2 +/
>>> С учётом загрузки модулей по цепочке зависимостей, компрометация ненадёжных учётных записей могла поразить в сумме до 52% от всех модулей в NPM.

and nothing of value would be lost

серьезно, нефильтруемое репо с очень важными пакетами is-even и is-odd (с зависимостью от пакета is-number) будет дырявой помойкой по умолчанию, хоть ты стофакторную аутентификацию туда впили.

хотя есть и нужные пакеты, вот, например:

https://www.npmjs.com/package/code-of-conduct-path

Get the path to the Code of Conduct (contributor covenent) file in a local repository.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51

39. Сообщение от Аноним (39), 16-Ноя-21, 19:12   +2 +/
Вынепонимаетеэтодругое!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

40. Сообщение от YetAnotherOnanym (ok), 16-Ноя-21, 19:31   +3 +/
А здесь даже и аккаунт ломать не надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

41. Сообщение от Аноноша (?), 16-Ноя-21, 19:36   –3 +/
> Яп не таскающий неведомую херню со всего интернета в хомяк разработчику

npm грузит пакеты в локальную директорию, а не /home

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

42. Сообщение от пох. (?), 16-Ноя-21, 19:37   –1 +/
Да ладно? Ты сканы паспортов чтоль проверял? Так усы и подделать можно. А на самом деле половина из них - рептилоиды (а вторая - агенты).

Но их в принципе в разы меньше, да и технология работы с репо не позволяет на коленке быстро-быстро новую версию фигак-в-продакшн, как показала история с багом в бубунте - даже если на самом деле срочно надо.

Ну и входной барьер. Имбецилы по квотам пока дальше CoC.md не проходят.
Понятно, что это только временно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

43. Сообщение от YetAnotherOnanym (ok), 16-Ноя-21, 19:38   +1 +/
> а пользователей банить

А оно тут же новую учётку заведёт и будет из неё любой пакет модифицировать как хочет:
> опубликовать новую версию любого пакета, используя для этого свою учётную запись, не авторизированную для выполнения подобных обновлений.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

44. Сообщение от YetAnotherOnanym (ok), 16-Ноя-21, 19:52   –1 +/
> Уязвимость была вызвана некорректной проверкой полномочий в коде микросервисов, обрабатывающих запросы к NPM. Сервис авторизации выполнял проверку прав доступа к пакетам на основе данных, передаваемых в запросе, но другой сервис, загружающий обновление в репозиторий, определял пакет для публикации на основе содержимого метаданных в загруженном пакете

Правая рука не знает, что делает левая. Зато микросервисы - стильно, модно, молодёжно. Можно постоянно допиливать и непрерывно-интегрировать/непрерывно-развёртывать любой микросервис независимо от остальных по принципу "кто в лес, кто по дрова".

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45

45. Сообщение от Аноним (45), 16-Ноя-21, 20:13   +/
Проблема не в микро, а в низком пороге входа и валом валят халтурщики. Которые молодые, но нужны деньги. И дальше начинается... поиск людей на развитие и рост полученных от них продуктов труда.

Тут что макро, что микро - один результат - беспорядок.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

46. Сообщение от хрю (?), 16-Ноя-21, 20:19   +1 +/
>сколько в самой концепции NPM

Это обычная концепция со времён cpan перла конца 90стых.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #50, #56

47. Сообщение от Аноноша (?), 16-Ноя-21, 20:41   +/
А они закрыли исходники npm сервера? Раньше вроде он был доступен в репозитории https://github.com/npm/www, а сейчас открыт только npm/cli.
Ответить | Правка | Наверх | Cообщить модератору

48. Сообщение от Онаним (?), 16-Ноя-21, 21:25   +2 +/
Искатели уязвимостей внезапно обнаружили в уязвимостях NPM.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

49. Сообщение от Онаним (?), 16-Ноя-21, 21:26   +/
В репах дистров хотя бы мейнтейнеры есть.
А npm - сборище васянов, каждый из которых может быть не васян, а его сосед-школохакер.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

50. Сообщение от Онаним (?), 16-Ноя-21, 21:27   +/
Надо сказать, шпан - это то, из-за чего перл и выкидывася из системы на самых ранних стадиях.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #52, #53

51. Сообщение от Онаним (?), 16-Ноя-21, 21:29   +/
> and nothing of value would be lost

so true

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

52. Сообщение от Аноним (52), 16-Ноя-21, 21:48   +/
Ну да, ну да - что еще от рукожопиков ждать-то.

Cpan, в отличие от гнездилища лефтпадов, прекрасно интегрировался с системными пакетными менеджерами - такая фича была предусмотрена изначально. Но, разумеется, л@п4тым оно было слишком сложно, а разработчики за них не захотели - они вообще были олдскульщики и не любили гепеле поделку.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

53. Сообщение от хрю (?), 16-Ноя-21, 22:02   +/
Чё? Перл выкидывался из системы linux? Он практически с самого начала в базовой поставке, наверно, всех дистров. шпан это главная инновация перла, которую в том или ином виде сейчас повторяют все от ноды и пистона до java с хрустом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #55

54. Сообщение от Dzen Python (ok), 16-Ноя-21, 22:03   +1 +/
Самое что ни на есть прямое.
Человек же выше писал, что в онлайне, в том числе около js-стеков сегодня крутятся некислые бабки.

Введение социального рейтинга не улучшит ситуации - все равно будет уязвима *сама ранжирующая система* и её операторы. Которые люди... Которые уязвимы для социального инжиниринга и прямых воздействий, вроде подкупа и шантажа...

Не удивлюсь, что и эта, кхг-м, недоработка, была оставлена по просьбе заинтересованных лиц - к какому-нибудь Dan Kuhelmeyer просто пришло несколько человек в штатском, поговорили о погоде и попросили при ревью не заметить пару строчек за скромное вознаграждение, взяв в негласные заложники маму Dan'а.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

55. Сообщение от Онаним (?), 16-Ноя-21, 22:11   –1 +/
Вы сейчас разом столько сортов г-на назвали, что я прямо таки чуть не захлебнулся.
Единственное что, java мимо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

56. Сообщение от yet another anonymous (?), 17-Ноя-21, 08:35   +1 +/
Да. И ещё pip.

"Ты, главное, только не волнуйся, дурак, всё так хорошо, всё так отлично, и наука к твоим услугам, дурак, и литература, чтобы тебе было весело, дурак, и ни о чём не надо думать… А всяких там вредно влияющих хулиганов и скептиков мы с тобой, дурак, разнесём (с тобой, да не разнести!)…" (C).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

57. Сообщение от yet another anonymous (?), 17-Ноя-21, 08:45   +1 +/
NPM --- система удобного подтягивания троян^W замечательных js-пакетов, на которой сидят почти все js-frameworks, на которых сделан современный web и которые выполняются на вашей машине через современный браузер. Так что можно [уже] не беспокоиться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

58. Сообщение от yet another anonymous (?), 17-Ноя-21, 09:02   +/
Ну, т.е. идея отличная, а вот с народом нам не повезло. Так, что ли?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

59. Сообщение от Аноним (-), 17-Ноя-21, 09:06   +/
мильены бандерлогов в процессе дальнейшего ухудшения качества Web просмотрели очередной баг
Ответить | Правка | Наверх | Cообщить модератору

60. Сообщение от псевдонимус (?), 17-Ноя-21, 11:09   +/
Ну да. В паразитории с вредоносным по снова обнаружили вредоносное по. Да и пиво разряботчики скорее всего пьют теплое и srаками.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

62. Сообщение от Викторemail (??), 17-Ноя-21, 11:22   –1 +/
Слава богу мне node.js не зашла, постоянные баги с ней
Ответить | Правка | Наверх | Cообщить модератору

63. Сообщение от Гентушник (ok), 17-Ноя-21, 16:13   +/
> Ввёл на телефоне пароль, на нём же сгенерировал TOTP

Вот тут ошибка. Надо было пароль вводить на одном устройстве, а TOTP использовать на другом.
Например входить с компа, а аутентификатор устанавливать на телефон.
Если все яйца у вас лежат в одной корзине, то от двухфакторки толку мало.

Хотя даже тут всё равно будет какая-никакая защита - если пароль просто отбрутфорсят или возьмут из какой-нибудь слитой базы данных, то зайти они не смогут. Собственно про это в новости и написано - про простые пароли, а не про взлом устройств разрабов.

> Потом телефон накрылся, и ты остался без аккаунта.

Про гитхаб не знаю, но почти везде можно указать способ восстановления аккаунта - по e-mail, по кодам восстановления или по злосчастному смс.
Это по-сути ещё один фактор, который тоже надо "хранить" отдельно от остальных, если подходить по-умному.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

64. Сообщение от Аноним (64), 17-Ноя-21, 17:37   +/
Микрософта без зондов не бывает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

65. Сообщение от Аноним (65), 18-Ноя-21, 12:57   +/
> ЯП без дефолт менеджера - плохой язык.

В корне неверная информация.

ЯП со своим велосипедом - плохой язык.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

66. Сообщение от Аноним (66), 18-Ноя-21, 16:27   +/
Короче, добавляете в проект .npmrc опцию strict=true, комитете package-lock.json и не обновляете пакеты, если нет необходимости.
Ответить | Правка | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру