forum.opennet.ru - "Уязвимость, позволявшая выпустить обновление для любого пакета в репозитории NPM" (60)

"Уязвимость, позволявшая выпустить обновление для любого пакета в репозитории NPM"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость, позволявшая выпустить обновление для любого пакета в репозитории NPM"	+/–
Сообщение от opennews (ok), 16-Ноя-21, 13:52
Компания GitHub раскрыла информацию о двух инцидентах в инфраструктуре репозитория пакетов NPM. 2 ноября сторонние исследователи безопасности (Kajetan Grzybowski и Maciej Piechota) в рамках программы Bug Bounty сообщили о наличии в репозитории NPM уязвимости, позволяющей опубликовать новую версию любого пакета, используя для этого неавторизированную учётную запись. Проблема была устранена через 6 часов после появления информации об уязвимости... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56167
Ответить \| Правка \| Cообщить модератору

Оглавление

Снова, говорите Нет, такого ещё не было Никогда ещё не был таким полным, Какаянахренразница (ok), 13:52 , 16-Ноя-21, (1) +21

О чём ты Он всегда таким был , A.Stahl (ok), 14:00 , 16-Ноя-21, (4) +3

А по моему нет, он заметно пополнел Любая версия любого пакета , kusb (?), 15:24 , 16-Ноя-21, (17) +8

Хакер и солонка 90 прода на этой хрени В JS просто последние годы начали кру, Жироватт (ok), 16:12 , 16-Ноя-21, (24) +6

Что-то NPM часто светиться в новостях начал, никогда такого не было и вот опять , А где же каменты (?), 13:53 , 16-Ноя-21, (2) +11

Скрыто модератором, QwertyReg (ok), 14:10 , 16-Ноя-21, (5) –7

Скрыто модератором, Аноним (7), 14:21 , 16-Ноя-21, (7)
Скрыто модератором, kusb (?), 14:33 , 16-Ноя-21, (10) +2
Скрыто модератором, Корец (?), 14:47 , 16-Ноя-21, (13) –3
Скрыто модератором, Аноним (14), 14:52 , 16-Ноя-21, (14) +2

Искатели уязвимостей внезапно обнаружили в уязвимостях NPM , Онаним (?), 21:25 , 16-Ноя-21, (48) +2

Ну 8211 ну https www opennet ru opennews art shtml num 56104, BratishkaErik (ok), 14:13 , 16-Ноя-21, (6) +3

Вынепонимаетеэтодругое , Аноним (39), 19:12 , 16-Ноя-21, (39) +2

Проблема не столько в инфраструктуре, сколько в самой концепции NPM мы за вас , yet another anonymous (?), 14:30 , 16-Ноя-21, (8) +1

То ли дело репозитории дистров линукса, вот там-то точно всё хорошо, ведь мейнте, Enamel (ok), 14:45 , 16-Ноя-21, (11)

Они может и не святые, но пока на троянском пакете в редхат-дебиан-генту никто н, пох. (?), 15:51 , 16-Ноя-21, (19) +5

Дык, мейнтейнеры редхата-дебиана-генту - конкретные люди с конкретными публично , Аноним (33), 18:26 , 16-Ноя-21, (33) +2

Достаточно взломать аккуант этого ФИО, Аноним (37), 18:49 , 16-Ноя-21, (37)

А здесь даже и аккаунт ломать не надо , YetAnotherOnanym (ok), 19:31 , 16-Ноя-21, (40) +3

Да ладно Ты сканы паспортов чтоль проверял Так усы и подделать можно А на сам, пох. (?), 19:37 , 16-Ноя-21, (42) –1

npm грузит пакеты в локальную директорию, а не home, Аноноша (?), 19:36 , 16-Ноя-21, (41) –3

В репах дистров хотя бы мейнтейнеры есть А npm - сборище васянов, каждый из кото, Онаним (?), 21:26 , 16-Ноя-21, (49)
В корне неверная информация ЯП со своим велосипедом - плохой язык , Аноним (65), 12:57 , 18-Ноя-21, (65)

Это обычная концепция со времён cpan перла конца 90стых , хрю (?), 20:19 , 16-Ноя-21, (46) +1

Надо сказать, шпан - это то, из-за чего перл и выкидывася из системы на самых ра, Онаним (?), 21:27 , 16-Ноя-21, (50)

Ну да, ну да - что еще от рукожопиков ждать-то Cpan, в отличие от гнездилища леф, Аноним (52), 21:48 , 16-Ноя-21, (52)
Чё Перл выкидывался из системы linux Он практически с самого начала в базовой , хрю (?), 22:02 , 16-Ноя-21, (53)

Вы сейчас разом столько сортов г-на назвали, что я прямо таки чуть не захлебнулс, Онаним (?), 22:11 , 16-Ноя-21, (55) –1

Да И ещё pip Ты, главное, только не волнуйся, дурак, всё так хорошо, всё так , yet another anonymous (?), 08:35 , 17-Ноя-21, (56) +1

Шли бы они в задницу со своими требованиями привязать телефон , Аноним (33), 14:31 , 16-Ноя-21, (9)

Это неплохая _дополнительная_ авторизация, Enamel (ok), 14:46 , 16-Ноя-21, (12) –2
Там нет никаких телефоном или TOTP или 2FA токен Для всего этого есть опенсурсн, ноунейм (?), 15:11 , 16-Ноя-21, (16) –1

Ввёл на телефоне пароль, на нём же сгенерировал TOTP токен и ввёл его в GitHub , Аноним (33), 18:29 , 16-Ноя-21, (34) +1

Вот тут ошибка Надо было пароль вводить на одном устройстве, а TOTP использоват, Гентушник (ok), 16:13 , 17-Ноя-21, (63)

Микрософта без зондов не бывает , Аноним (64), 17:37 , 17-Ноя-21, (64)

Вы морды этих SJW разрабатывающих npm виделы , Извращенцы NPM (?), 14:58 , 16-Ноя-21, (15)

Ну что ты, Петька, это рожи у них такие Присмотревшись - а, нет, правда сраками, пох. (?), 15:45 , 16-Ноя-21, (18) +1

Ну да В паразитории с вредоносным по снова обнаружили вредоносное по Да и пиво, псевдонимус (?), 11:09 , 17-Ноя-21, (60)

Это диагноз Тут двухфакторная авторизация не поможет Этим людям просто наплева, Аноним (20), 15:54 , 16-Ноя-21, (20) +6

- Э, слышь, админ, вот тебе конвертик, десяток борзых щенков, адресок того урода, Жироватт (ok), 16:24 , 16-Ноя-21, (25) +5

у людей часто так кто-то хочет как лучше и делает лучше, но потом приходят 95 , 73 (?), 16:50 , 16-Ноя-21, (28)
Осталось понять какое отношение все написанное имеет дело к сопровождению пакето, Аноноша (?), 17:27 , 16-Ноя-21, (29)

НепосредственноеИдея пакетного менеджера - хорошаяРеализация npm - такое себеПол, Аноним (31), 18:12 , 16-Ноя-21, (31)

Ну, т е идея отличная, а вот с народом нам не повезло Так, что ли , yet another anonymous (?), 09:02 , 17-Ноя-21, (58)

Самое что ни на есть прямое Человек же выше писал, что в онлайне, в том числе о, Dzen Python (ok), 22:03 , 16-Ноя-21, (54) +1

А оно тут же новую учётку заведёт и будет из неё любой пакет модифицировать как , YetAnotherOnanym (ok), 19:38 , 16-Ноя-21, (43) +1

Это смешно обязательная двухфакторная аутентификация А где вы раньше были Им, Аноним (22), 15:57 , 16-Ноя-21, (22) +2
Как определить реальную необходимость и важность технологии в мире на выбранный , Жироватт (ok), 16:30 , 16-Ноя-21, (26) –1

А если все поголовно уязвимостей создают на порядки больше чем потом находят, ка, Аноним (27), 16:48 , 16-Ноя-21, (27)

А NPM это что Мне надо волноваться , Аноним (30), 18:01 , 16-Ноя-21, (30) +1

Если не в курсе - значит точно надо , Урри (ok), 18:15 , 16-Ноя-21, (32) +1
NPM --- система удобного подтягивания троян W замечательных js-пакетов, на котор, yet another anonymous (?), 08:45 , 17-Ноя-21, (57) +1

and nothing of value would be lostсерьезно, нефильтруемое репо с очень важными п, Михрютка (ok), 19:08 , 16-Ноя-21, (38) +2

so true, Онаним (?), 21:29 , 16-Ноя-21, (51)

Правая рука не знает, что делает левая Зато микросервисы - стильно, модно, моло, YetAnotherOnanym (ok), 19:52 , 16-Ноя-21, (44) –1

Проблема не в микро, а в низком пороге входа и валом валят халтурщики Которые м, Аноним (45), 20:13 , 16-Ноя-21, (45)

А они закрыли исходники npm сервера Раньше вроде он был доступен в репозитории , Аноноша (?), 20:41 , 16-Ноя-21, (47)
мильены бандерлогов в процессе дальнейшего ухудшения качества Web просмотрели оч, Аноним (-), 09:06 , 17-Ноя-21, (59)
Слава богу мне node js не зашла, постоянные баги с ней, Виктор (??), 11:22 , 17-Ноя-21, (62) –1
Короче, добавляете в проект npmrc опцию strict true, комитете package-lock json, Аноним (66), 16:27 , 18-Ноя-21, (66)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость, позволявшая выпустить обновление для любого паке..." +21 +/–

Сообщение от Какаянахренразница (ok), 16-Ноя-21, 13:52

> уязвимости, позволяющей опубликовать новую версию любого пакета
Снова, говорите? Нет, такого ещё не было. Никогда ещё $@#&%© не был таким полным.

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость, позволявшая выпустить обновление для любого паке..." +3 +/–

Сообщение от A.Stahl (ok), 16-Ноя-21, 14:00

>Никогда ещё $@#&%© не был таким полным.
О чём ты? Он всегда таким был.

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость, позволявшая выпустить обновление для любого паке..." +8 +/–

Сообщение от kusb (?), 16-Ноя-21, 15:24

А по моему нет, он заметно пополнел. Любая версия любого пакета.

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость, позволявшая выпустить обновление для любого паке..." +6 +/–

Сообщение от Жироватт (ok), 16-Ноя-21, 16:12

(Хакер и солонка)^(90% прода на этой хрени)
В JS просто последние годы начали крутится привлекательные бабки - от него так просто с учётом всего стека уже не отказаться, так что такие уязвимости будут всплывать регулярно. Да, и такие полные. Смиритесь. Даже в хрустике - дело-то в самом подходе к формированию environment.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Уязвимость, позволявшая выпустить обновление для любого паке..." +11 +/–

Сообщение от А где же каменты (?), 16-Ноя-21, 13:53

Что-то NPM часто светиться в новостях начал, никогда такого не было и вот опять!

Ответить | Правка | Наверх | Cообщить модератору

5. Скрыто модератором –7 +/–

Сообщение от QwertyReg (ok), 16-Ноя-21, 14:10

Нашли дыру в NPM: никогда такого не было и вот опять! ужас! кошмар! веб-макаки!
Нашли дыру в ядре Linux: это другое! смотрите, как здорово, ищут, исправляют!

Ответить | Правка | Наверх | Cообщить модератору

7. Скрыто модератором +/–

Сообщение от Аноним (7), 16-Ноя-21, 14:21

Не веб-макаки, а копирасты.

Ответить | Правка | Наверх | Cообщить модератору

10. Скрыто модератором +2 +/–

Сообщение от kusb (?), 16-Ноя-21, 14:33

Уязвимости есть много где, почти везде в программах, IT состоит из дыр, но NPM - зачастило.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

13. Скрыто модератором –3 +/–

Сообщение от Корец (?), 16-Ноя-21, 14:47

Сравни частоту новостей про то и то. И это я ещё не предлагаю сравнить нужность того и другого.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

14. Скрыто модератором +2 +/–

Сообщение от Аноним (14), 16-Ноя-21, 14:52

Но вообще это насколько я понимаю это дыра в github, который сделал сервис автопубликации в npm из git

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

48. "Уязвимость, позволявшая выпустить обновление для любого паке..." +2 +/–

Сообщение от Онаним (?), 16-Ноя-21, 21:25

Искатели уязвимостей внезапно обнаружили в уязвимостях NPM.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

6. "Уязвимость, позволявшая выпустить обновление для любого паке..." +3 +/–

Сообщение от BratishkaErik (ok), 16-Ноя-21, 14:13

> GitHub утверждает, что следов совершения атак с использованием данной уязвимости с сентября 2020 года не зафиксировано.
Ну–ну! https://www.opennet.ru/opennews/art.shtml?num=56104

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость, позволявшая выпустить обновление для любого паке..." +2 +/–

Сообщение от Аноним (39), 16-Ноя-21, 19:12

Вынепонимаетеэтодругое!

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость, позволявшая выпустить обновление для любого паке..." +1 +/–

Сообщение от yet another anonymous (?), 16-Ноя-21, 14:30

Проблема не столько в инфраструктуре, сколько в самой концепции NPM: "мы за вас будем и управлять всей структурой пакетов, и отгрузим вам то, что вам нужно по своему усмотрению, ни о чём не заботьтесь". Реальный профит либо в рекламе, либо в коллекции информации.
На тех же принципах сделали r..st. И пытаются протащить это же в C++ modules.

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость, позволявшая выпустить обновление для любого паке..." +/–

Сообщение от Enamel (ok), 16-Ноя-21, 14:45

То ли дело репозитории дистров линукса, вот там-то точно всё хорошо, ведь мейнтейнеры святые люди.
Сама по себе концепция репозиториев - замечательно.
ЯП без дефолт менеджера - плохой язык. Модули в C++ - чудесно, текущая система с препроцессором - мрак. Но пока на них перейдут, будет уже какой-нибудь 2030.
А npm - какая-то пожизненная кривая хрень, тут да.

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость, позволявшая выпустить обновление для любого паке..." +5 +/–

Сообщение от пох. (?), 16-Ноя-21, 15:51

Они может и не святые, но пока на троянском пакете в редхат-дебиан-генту никто не попался.
Наверное тысчегласс смотрит только в npm!
Яп не таскающий неведомую херню со всего интернета в хомяк разработчику, а использующий установленные глобально в систему библиотеки - хороший и правильный язык, не позволяющий вот так запросто превратить всю систему в помойку потому что макаке восхотелось распоследней версии ненужного лефтпада.

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость, позволявшая выпустить обновление для любого паке..." +2 +/–

Сообщение от Аноним (33), 16-Ноя-21, 18:26

Дык, мейнтейнеры редхата-дебиана-генту - конкретные люди с конкретными публично известными ФИО. Залить кто попало в редхат-дебиан-генту пакет не может.

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость, позволявшая выпустить обновление для любого паке..." +/–

Сообщение от Аноним (37), 16-Ноя-21, 18:49

Достаточно взломать аккуант этого ФИО

Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость, позволявшая выпустить обновление для любого паке..." +3 +/–

Сообщение от YetAnotherOnanym (ok), 16-Ноя-21, 19:31

А здесь даже и аккаунт ломать не надо.

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость, позволявшая выпустить обновление для любого паке..." –1 +/–

Сообщение от пох. (?), 16-Ноя-21, 19:37

Да ладно? Ты сканы паспортов чтоль проверял? Так усы и подделать можно. А на самом деле половина из них - рептилоиды (а вторая - агенты).
Но их в принципе в разы меньше, да и технология работы с репо не позволяет на коленке быстро-быстро новую версию фигак-в-продакшн, как показала история с багом в бубунте - даже если на самом деле срочно надо.
Ну и входной барьер. Имбецилы по квотам пока дальше CoC.md не проходят.
Понятно, что это только временно.

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

41. "Уязвимость, позволявшая выпустить обновление для любого паке..." –3 +/–

Сообщение от Аноноша (?), 16-Ноя-21, 19:36

> Яп не таскающий неведомую херню со всего интернета в хомяк разработчику
npm грузит пакеты в локальную директорию, а не /home

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

49. "Уязвимость, позволявшая выпустить обновление для любого паке..." +/–

Сообщение от Онаним (?), 16-Ноя-21, 21:26

В репах дистров хотя бы мейнтейнеры есть.
А npm - сборище васянов, каждый из которых может быть не васян, а его сосед-школохакер.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

65. "Уязвимость, позволявшая выпустить обновление для любого паке..." +/–

Сообщение от Аноним (65), 18-Ноя-21, 12:57

> ЯП без дефолт менеджера - плохой язык.
В корне неверная информация.
ЯП со своим велосипедом - плохой язык.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

46. "Уязвимость, позволявшая выпустить обновление для любого паке..." +1 +/–

Сообщение от хрю (?), 16-Ноя-21, 20:19

>сколько в самой концепции NPM
Это обычная концепция со времён cpan перла конца 90стых.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

50. "Уязвимость, позволявшая выпустить обновление для любого паке..." +/–

Сообщение от Онаним (?), 16-Ноя-21, 21:27

Надо сказать, шпан - это то, из-за чего перл и выкидывася из системы на самых ранних стадиях.

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость, позволявшая выпустить обновление для любого паке..." +/–

Сообщение от Аноним (52), 16-Ноя-21, 21:48

Ну да, ну да - что еще от рукожопиков ждать-то.
Cpan, в отличие от гнездилища лефтпадов, прекрасно интегрировался с системными пакетными менеджерами - такая фича была предусмотрена изначально. Но, разумеется, л@п4тым оно было слишком сложно, а разработчики за них не захотели - они вообще были олдскульщики и не любили гепеле поделку.

Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимость, позволявшая выпустить обновление для любого паке..." +/–

Сообщение от хрю (?), 16-Ноя-21, 22:02

Чё? Перл выкидывался из системы linux? Он практически с самого начала в базовой поставке, наверно, всех дистров. шпан это главная инновация перла, которую в том или ином виде сейчас повторяют все от ноды и пистона до java с хрустом.

Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

55. "Уязвимость, позволявшая выпустить обновление для любого паке..." –1 +/–

Сообщение от Онаним (?), 16-Ноя-21, 22:11

Вы сейчас разом столько сортов г-на назвали, что я прямо таки чуть не захлебнулся.
Единственное что, java мимо.

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимость, позволявшая выпустить обновление для любого паке..." +1 +/–

Сообщение от yet another anonymous (?), 17-Ноя-21, 08:35

Да. И ещё pip.
"Ты, главное, только не волнуйся, дурак, всё так хорошо, всё так отлично, и наука к твоим услугам, дурак, и литература, чтобы тебе было весело, дурак, и ни о чём не надо думать… А всяких там вредно влияющих хулиганов и скептиков мы с тобой, дурак, разнесём (с тобой, да не разнести!)…" (C).

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

9. "Уязвимость, позволявшая выпустить обновление для любого паке..." +/–

Сообщение от Аноним (33), 16-Ноя-21, 14:31

>GitHub приняла решение ввести обязательную двухфакторную аутентификацию
Шли бы они в задницу со своими требованиями привязать телефон.

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость, позволявшая выпустить обновление для любого паке..." –2 +/–

Сообщение от Enamel (ok), 16-Ноя-21, 14:46

Это неплохая _дополнительная_ авторизация

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость, позволявшая выпустить обновление для любого паке..." –1 +/–

Сообщение от ноунейм (?), 16-Ноя-21, 15:11

Там нет никаких телефоном или TOTP или 2FA токен. Для всего этого есть опенсурсные приложения не десктоп/телефон и аппаратные токены.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

34. "Уязвимость, позволявшая выпустить обновление для любого паке..." +1 +/–

Сообщение от Аноним (33), 16-Ноя-21, 18:29

Ввёл на телефоне пароль, на нём же сгенерировал TOTP токен и ввёл его в GitHub. И то и другое спёр бэкдор, идущий в комплекте. Потом телефон накрылся, и ты остался без аккаунта. Д - двухfuckторность.

Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость, позволявшая выпустить обновление для любого паке..." +/–

Сообщение от Гентушник (ok), 17-Ноя-21, 16:13

> Ввёл на телефоне пароль, на нём же сгенерировал TOTP
Вот тут ошибка. Надо было пароль вводить на одном устройстве, а TOTP использовать на другом.
Например входить с компа, а аутентификатор устанавливать на телефон.
Если все яйца у вас лежат в одной корзине, то от двухфакторки толку мало.
Хотя даже тут всё равно будет какая-никакая защита - если пароль просто отбрутфорсят или возьмут из какой-нибудь слитой базы данных, то зайти они не смогут. Собственно про это в новости и написано - про простые пароли, а не про взлом устройств разрабов.
> Потом телефон накрылся, и ты остался без аккаунта.
Про гитхаб не знаю, но почти везде можно указать способ восстановления аккаунта - по e-mail, по кодам восстановления или по злосчастному смс.
Это по-сути ещё один фактор, который тоже надо "хранить" отдельно от остальных, если подходить по-умному.

Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимость, позволявшая выпустить обновление для любого паке..." +/–

Сообщение от Аноним (64), 17-Ноя-21, 17:37

Микрософта без зондов не бывает.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

15. "Уязвимость, позволявшая выпустить обновление для любого паке..." +/–

Сообщение от Извращенцы NPM (?), 16-Ноя-21, 14:58

Вы морды этих SJW разрабатывающих npm виделы?

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость, позволявшая выпустить обновление для любого паке..." +1 +/–

Сообщение от пох. (?), 16-Ноя-21, 15:45

Ну что ты, Петька, это рожи у них такие!
(Присмотревшись - а, нет, правда сраками пьют. Впрочем, они ими похоже еще много чего могут. Код писать, вот...)

Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимость, позволявшая выпустить обновление для любого паке..." +/–

Сообщение от псевдонимус (?), 17-Ноя-21, 11:09

Ну да. В паразитории с вредоносным по снова обнаружили вредоносное по. Да и пиво разряботчики скорее всего пьют теплое и srаками.

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость, позволявшая выпустить обновление для любого паке..." +6 +/–

Сообщение от Аноним (20), 16-Ноя-21, 15:54

> Напомним, что в соответствии с проведённым в 2020 году исследованием, лишь 9.27% мэйнтенеров пакетов используют для защиты доступа двухфакторную аутентификацию, а в 13.37% случаев при регистрации новых учётных записей разработчики пытались повторно использовать скомпрометированные пароли, фигурирующие в известных утечках паролей.
Это диагноз. Тут двухфакторная авторизация не поможет. Этим людям просто наплевать на всех, такие пакеты надо удалять, а пользователей банить. Даёшь социальный рейтинг!

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость, позволявшая выпустить обновление для любого паке..." +5 +/–

Сообщение от Жироватт (ok), 16-Ноя-21, 16:24

- Э, слышь, админ, вот тебе конвертик, десяток борзых щенков, адресок того урода, называвшего тво. маму - женщиной с пониженной социальной ответственностью и звонок, после которого полицаи резко перестают тебя видеть, только накрути мне рейтинга до ★★★★★, а?
- Э, слышь, сисоп при суперкомпе, вот тебе по рылу р-р-р-раз, по яйцам - д-д-два, и маме с сестренкой по видеосвязи пару раз по лицу. Отстану, не пищи, только накрути мне рейтинга до ★★★★★, а?
- Э, слышь, кодерок базы, вот тебе, еще доза ультакакоина, а следущая...а следующая - не бесплатно! Оставь мне бекдорчик, рейтинг мне подкрутить до ★★★★★, а там я тебе еще ширева подгоню?
- Эй, пап, привет, я возьму твою учётку старшего зама руководителя ГБ на полчаса? Мне тут какой-то плебей рейтинг понизил по беспределу, хочу откатить ему до ★ и себе до ★★★★★.
Хрень, на самом деле, твой социальный рейтинг. Наоборот, увеличивающий простор для злоупотреблений.

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость, позволявшая выпустить обновление для любого паке..." +/–

Сообщение от 73 (?), 16-Ноя-21, 16:50

у людей часто так: кто-то хочет как лучше и делает лучше, но потом приходят 95% и извращают все хорошие, годные стороны себе в угоду

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость, позволявшая выпустить обновление для любого паке..." +/–

Сообщение от Аноноша (?), 16-Ноя-21, 17:27

Осталось понять какое отношение все написанное имеет дело к сопровождению пакетов...

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

31. "Уязвимость, позволявшая выпустить обновление для любого паке..." +/–

Сообщение от Аноним (31), 16-Ноя-21, 18:12

Непосредственное
Идея пакетного менеджера - хорошая
Реализация npm - такое себе
Пользователи npm - такие себе, средненькие
Вот и получается, что нужная и полезная идея реализована небрежно, используется неряхами и общий результат - гавно

Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимость, позволявшая выпустить обновление для любого паке..." +/–

Сообщение от yet another anonymous (?), 17-Ноя-21, 09:02

Ну, т.е. идея отличная, а вот с народом нам не повезло. Так, что ли?

Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимость, позволявшая выпустить обновление для любого паке..." +1 +/–

Сообщение от Dzen Python (ok), 16-Ноя-21, 22:03

Самое что ни на есть прямое.
Человек же выше писал, что в онлайне, в том числе около js-стеков сегодня крутятся некислые бабки.
Введение социального рейтинга не улучшит ситуации - все равно будет уязвима *сама ранжирующая система* и её операторы. Которые люди... Которые уязвимы для социального инжиниринга и прямых воздействий, вроде подкупа и шантажа...
Не удивлюсь, что и эта, кхг-м, недоработка, была оставлена по просьбе заинтересованных лиц - к какому-нибудь Dan Kuhelmeyer просто пришло несколько человек в штатском, поговорили о погоде и попросили при ревью не заметить пару строчек за скромное вознаграждение, взяв в негласные заложники маму Dan'а.

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

43. "Уязвимость, позволявшая выпустить обновление для любого паке..." +1 +/–

Сообщение от YetAnotherOnanym (ok), 16-Ноя-21, 19:38

> а пользователей банить
А оно тут же новую учётку заведёт и будет из неё любой пакет модифицировать как хочет:
> опубликовать новую версию любого пакета, используя для этого свою учётную запись, не авторизированную для выполнения подобных обновлений.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

22. "Уязвимость, позволявшая выпустить обновление для любого паке..." +2 +/–

Сообщение от Аноним (22), 16-Ноя-21, 15:57

Это смешно "обязательная двухфакторная аутентификация". А где вы раньше были?
Именно из-за вас её и пришлось отключить, потому что нельзя публиковать пакеты автоматически из GitHub / CI / CD.
Сами обос..лись, сами в заслугу себе ставят.

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость, позволявшая выпустить обновление для любого паке..." –1 +/–

Сообщение от Жироватт (ok), 16-Ноя-21, 16:30

Как определить реальную необходимость и важность технологии в мире на выбранный момент, не впадая в когнитивные искажения, репрезентативно и беспристрастно?
Количество уязвимостей, найденных и поправленных в единицу времени.

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость, позволявшая выпустить обновление для любого паке..." +/–

Сообщение от Аноним (27), 16-Ноя-21, 16:48

А если все поголовно уязвимостей создают на порядки больше чем потом находят, как с сабжем?

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость, позволявшая выпустить обновление для любого паке..." +1 +/–

Сообщение от Аноним (30), 16-Ноя-21, 18:01

А NPM это что? Мне надо волноваться?

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость, позволявшая выпустить обновление для любого паке..." +1 +/–

Сообщение от Урри (ok), 16-Ноя-21, 18:15

Если не в курсе - значит точно надо.

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость, позволявшая выпустить обновление для любого паке..." +1 +/–

Сообщение от yet another anonymous (?), 17-Ноя-21, 08:45

NPM --- система удобного подтягивания троян^W замечательных js-пакетов, на которой сидят почти все js-frameworks, на которых сделан современный web и которые выполняются на вашей машине через современный браузер. Так что можно [уже] не беспокоиться.

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

38. "Уязвимость, позволявшая выпустить обновление для любого паке..." +2 +/–

Сообщение от Михрютка (ok), 16-Ноя-21, 19:08

>>> С учётом загрузки модулей по цепочке зависимостей, компрометация ненадёжных учётных записей могла поразить в сумме до 52% от всех модулей в NPM.
and nothing of value would be lost
серьезно, нефильтруемое репо с очень важными пакетами is-even и is-odd (с зависимостью от пакета is-number) будет дырявой помойкой по умолчанию, хоть ты стофакторную аутентификацию туда впили.
хотя есть и нужные пакеты, вот, например:
https://www.npmjs.com/package/code-of-conduct-path
Get the path to the Code of Conduct (contributor covenent) file in a local repository.

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость, позволявшая выпустить обновление для любого паке..." +/–

Сообщение от Онаним (?), 16-Ноя-21, 21:29

> and nothing of value would be lost
so true

Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость, позволявшая выпустить обновление для любого паке..." –1 +/–

Сообщение от YetAnotherOnanym (ok), 16-Ноя-21, 19:52

> Уязвимость была вызвана некорректной проверкой полномочий в коде микросервисов, обрабатывающих запросы к NPM. Сервис авторизации выполнял проверку прав доступа к пакетам на основе данных, передаваемых в запросе, но другой сервис, загружающий обновление в репозиторий, определял пакет для публикации на основе содержимого метаданных в загруженном пакете
Правая рука не знает, что делает левая. Зато микросервисы - стильно, модно, молодёжно. Можно постоянно допиливать и непрерывно-интегрировать/непрерывно-развёртывать любой микросервис независимо от остальных по принципу "кто в лес, кто по дрова".

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость, позволявшая выпустить обновление для любого паке..." +/–

Сообщение от Аноним (45), 16-Ноя-21, 20:13

Проблема не в микро, а в низком пороге входа и валом валят халтурщики. Которые молодые, но нужны деньги. И дальше начинается... поиск людей на развитие и рост полученных от них продуктов труда.
Тут что макро, что микро - один результат - беспорядок.

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость, позволявшая выпустить обновление для любого паке..." +/–

Сообщение от Аноноша (?), 16-Ноя-21, 20:41

А они закрыли исходники npm сервера? Раньше вроде он был доступен в репозитории https://github.com/npm/www, а сейчас открыт только npm/cli.

Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость, позволявшая выпустить обновление для любого паке..." +/–

Сообщение от Аноним (-), 17-Ноя-21, 09:06

мильены бандерлогов в процессе дальнейшего ухудшения качества Web просмотрели очередной баг

Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимость, позволявшая выпустить обновление для любого паке..." –1 +/–

Сообщение от Виктор (??), 17-Ноя-21, 11:22

Слава богу мне node.js не зашла, постоянные баги с ней

Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимость, позволявшая выпустить обновление для любого паке..." +/–

Сообщение от Аноним (66), 18-Ноя-21, 16:27

Короче, добавляете в проект .npmrc опцию strict=true, комитете package-lock.json и не обновляете пакеты, если нет необходимости.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость, позволявшая выпустить обновление для любого паке..."	+21 +/–
Сообщение от Какаянахренразница (ok), 16-Ноя-21, 13:52
> уязвимости, позволяющей опубликовать новую версию любого пакета Снова, говорите? Нет, такого ещё не было. Никогда ещё $@#&%© не был таким полным.
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Уязвимость, позволявшая выпустить обновление для любого паке..."	+3 +/–
	Сообщение от A.Stahl (ok), 16-Ноя-21, 14:00
	>Никогда ещё $@#&%© не был таким полным. О чём ты? Он всегда таким был.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Уязвимость, позволявшая выпустить обновление для любого паке..."	+8 +/–
	Сообщение от kusb (?), 16-Ноя-21, 15:24
	А по моему нет, он заметно пополнел. Любая версия любого пакета.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Уязвимость, позволявшая выпустить обновление для любого паке..."	+6 +/–
	Сообщение от Жироватт (ok), 16-Ноя-21, 16:12
	(Хакер и солонка)^(90% прода на этой хрени) В JS просто последние годы начали крутится привлекательные бабки - от него так просто с учётом всего стека уже не отказаться, так что такие уязвимости будут всплывать регулярно. Да, и такие полные. Смиритесь. Даже в хрустике - дело-то в самом подходе к формированию environment.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

2. "Уязвимость, позволявшая выпустить обновление для любого паке..."	+11 +/–
Сообщение от А где же каменты (?), 16-Ноя-21, 13:53
Что-то NPM часто светиться в новостях начал, никогда такого не было и вот опять!
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. Скрыто модератором	–7 +/–
	Сообщение от QwertyReg (ok), 16-Ноя-21, 14:10
	Нашли дыру в NPM: никогда такого не было и вот опять! ужас! кошмар! веб-макаки! Нашли дыру в ядре Linux: это другое! смотрите, как здорово, ищут, исправляют!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. Скрыто модератором	+/–
	Сообщение от Аноним (7), 16-Ноя-21, 14:21
	Не веб-макаки, а копирасты.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. Скрыто модератором	+2 +/–
	Сообщение от kusb (?), 16-Ноя-21, 14:33
	Уязвимости есть много где, почти везде в программах, IT состоит из дыр, но NPM - зачастило.
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	13. Скрыто модератором	–3 +/–
	Сообщение от Корец (?), 16-Ноя-21, 14:47
	Сравни частоту новостей про то и то. И это я ещё не предлагаю сравнить нужность того и другого.
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	14. Скрыто модератором	+2 +/–
	Сообщение от Аноним (14), 16-Ноя-21, 14:52
	Но вообще это насколько я понимаю это дыра в github, который сделал сервис автопубликации в npm из git
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	48. "Уязвимость, позволявшая выпустить обновление для любого паке..."	+2 +/–
	Сообщение от Онаним (?), 16-Ноя-21, 21:25
	Искатели уязвимостей внезапно обнаружили в уязвимостях NPM.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору

6. "Уязвимость, позволявшая выпустить обновление для любого паке..."	+3 +/–
Сообщение от BratishkaErik (ok), 16-Ноя-21, 14:13
> GitHub утверждает, что следов совершения атак с использованием данной уязвимости с сентября 2020 года не зафиксировано. Ну–ну! https://www.opennet.ru/opennews/art.shtml?num=56104
Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Уязвимость, позволявшая выпустить обновление для любого паке..."	+2 +/–
	Сообщение от Аноним (39), 16-Ноя-21, 19:12
	Вынепонимаетеэтодругое!
	Ответить \| Правка \| Наверх \| Cообщить модератору

8. "Уязвимость, позволявшая выпустить обновление для любого паке..."	+1 +/–
Сообщение от yet another anonymous (?), 16-Ноя-21, 14:30
Проблема не столько в инфраструктуре, сколько в самой концепции NPM: "мы за вас будем и управлять всей структурой пакетов, и отгрузим вам то, что вам нужно по своему усмотрению, ни о чём не заботьтесь". Реальный профит либо в рекламе, либо в коллекции информации. На тех же принципах сделали r..st. И пытаются протащить это же в C++ modules.
Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Уязвимость, позволявшая выпустить обновление для любого паке..."	+/–
	Сообщение от Enamel (ok), 16-Ноя-21, 14:45
	То ли дело репозитории дистров линукса, вот там-то точно всё хорошо, ведь мейнтейнеры святые люди. Сама по себе концепция репозиториев - замечательно. ЯП без дефолт менеджера - плохой язык. Модули в C++ - чудесно, текущая система с препроцессором - мрак. Но пока на них перейдут, будет уже какой-нибудь 2030. А npm - какая-то пожизненная кривая хрень, тут да.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Уязвимость, позволявшая выпустить обновление для любого паке..."	+5 +/–
	Сообщение от пох. (?), 16-Ноя-21, 15:51
	Они может и не святые, но пока на троянском пакете в редхат-дебиан-генту никто не попался. Наверное тысчегласс смотрит только в npm! Яп не таскающий неведомую херню со всего интернета в хомяк разработчику, а использующий установленные глобально в систему библиотеки - хороший и правильный язык, не позволяющий вот так запросто превратить всю систему в помойку потому что макаке восхотелось распоследней версии ненужного лефтпада.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Уязвимость, позволявшая выпустить обновление для любого паке..."	+2 +/–
	Сообщение от Аноним (33), 16-Ноя-21, 18:26
	Дык, мейнтейнеры редхата-дебиана-генту - конкретные люди с конкретными публично известными ФИО. Залить кто попало в редхат-дебиан-генту пакет не может.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Уязвимость, позволявшая выпустить обновление для любого паке..."	+/–
	Сообщение от Аноним (37), 16-Ноя-21, 18:49
	Достаточно взломать аккуант этого ФИО
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Уязвимость, позволявшая выпустить обновление для любого паке..."	+3 +/–
	Сообщение от YetAnotherOnanym (ok), 16-Ноя-21, 19:31
	А здесь даже и аккаунт ломать не надо.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Уязвимость, позволявшая выпустить обновление для любого паке..."	–1 +/–
	Сообщение от пох. (?), 16-Ноя-21, 19:37
	Да ладно? Ты сканы паспортов чтоль проверял? Так усы и подделать можно. А на самом деле половина из них - рептилоиды (а вторая - агенты). Но их в принципе в разы меньше, да и технология работы с репо не позволяет на коленке быстро-быстро новую версию фигак-в-продакшн, как показала история с багом в бубунте - даже если на самом деле срочно надо. Ну и входной барьер. Имбецилы по квотам пока дальше CoC.md не проходят. Понятно, что это только временно.
	Ответить \| Правка \| К родителю #33 \| Наверх \| Cообщить модератору


	41. "Уязвимость, позволявшая выпустить обновление для любого паке..."	–3 +/–
	Сообщение от Аноноша (?), 16-Ноя-21, 19:36
	> Яп не таскающий неведомую херню со всего интернета в хомяк разработчику npm грузит пакеты в локальную директорию, а не /home
	Ответить \| Правка \| К родителю #19 \| Наверх \| Cообщить модератору


	49. "Уязвимость, позволявшая выпустить обновление для любого паке..."	+/–
	Сообщение от Онаним (?), 16-Ноя-21, 21:26
	В репах дистров хотя бы мейнтейнеры есть. А npm - сборище васянов, каждый из которых может быть не васян, а его сосед-школохакер.
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	65. "Уязвимость, позволявшая выпустить обновление для любого паке..."	+/–
	Сообщение от Аноним (65), 18-Ноя-21, 12:57
	> ЯП без дефолт менеджера - плохой язык. В корне неверная информация. ЯП со своим велосипедом - плохой язык.
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	46. "Уязвимость, позволявшая выпустить обновление для любого паке..."	+1 +/–
	Сообщение от хрю (?), 16-Ноя-21, 20:19
	>сколько в самой концепции NPM Это обычная концепция со времён cpan перла конца 90стых.
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	50. "Уязвимость, позволявшая выпустить обновление для любого паке..."	+/–
	Сообщение от Онаним (?), 16-Ноя-21, 21:27
	Надо сказать, шпан - это то, из-за чего перл и выкидывася из системы на самых ранних стадиях.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	52. "Уязвимость, позволявшая выпустить обновление для любого паке..."	+/–
	Сообщение от Аноним (52), 16-Ноя-21, 21:48
	Ну да, ну да - что еще от рукожопиков ждать-то. Cpan, в отличие от гнездилища лефтпадов, прекрасно интегрировался с системными пакетными менеджерами - такая фича была предусмотрена изначально. Но, разумеется, л@п4тым оно было слишком сложно, а разработчики за них не захотели - они вообще были олдскульщики и не любили гепеле поделку.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	53. "Уязвимость, позволявшая выпустить обновление для любого паке..."	+/–
	Сообщение от хрю (?), 16-Ноя-21, 22:02
	Чё? Перл выкидывался из системы linux? Он практически с самого начала в базовой поставке, наверно, всех дистров. шпан это главная инновация перла, которую в том или ином виде сейчас повторяют все от ноды и пистона до java с хрустом.
	Ответить \| Правка \| К родителю #50 \| Наверх \| Cообщить модератору


	55. "Уязвимость, позволявшая выпустить обновление для любого паке..."	–1 +/–
	Сообщение от Онаним (?), 16-Ноя-21, 22:11
	Вы сейчас разом столько сортов г-на назвали, что я прямо таки чуть не захлебнулся. Единственное что, java мимо.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "Уязвимость, позволявшая выпустить обновление для любого паке..."	+1 +/–
	Сообщение от yet another anonymous (?), 17-Ноя-21, 08:35
	Да. И ещё pip. "Ты, главное, только не волнуйся, дурак, всё так хорошо, всё так отлично, и наука к твоим услугам, дурак, и литература, чтобы тебе было весело, дурак, и ни о чём не надо думать… А всяких там вредно влияющих хулиганов и скептиков мы с тобой, дурак, разнесём (с тобой, да не разнести!)…" (C).
	Ответить \| Правка \| К родителю #46 \| Наверх \| Cообщить модератору

9. "Уязвимость, позволявшая выпустить обновление для любого паке..."	+/–
Сообщение от Аноним (33), 16-Ноя-21, 14:31
>GitHub приняла решение ввести обязательную двухфакторную аутентификацию Шли бы они в задницу со своими требованиями привязать телефон.
Ответить \| Правка \| Наверх \| Cообщить модератору