В NPM-пакете pac-resolver, насчитывающем более 3 млн загрузок в неделю, выявлена уязвимость (CVE-2021-23406), которая позволяет добиться выполнения своего JavaScript-кода в контексте приложения при отправке HTTP-запросов из Node.js-проектов, поддерживающих функцию автонастройки прокси-сервера...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=55728

• Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,InuYasha, 22:52 , 02-Сен-21
• Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Аноним, 22:53 , 02-Сен-21
  • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Ordu, 00:26 , 03-Сен-21
  • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Аноним, 11:57 , 03-Сен-21
• Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Аноним, 22:55 , 02-Сен-21
  • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Аноним, 23:03 , 02-Сен-21
    • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Аноним, 23:30 , 02-Сен-21
      • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Аноним, 01:12 , 03-Сен-21
        • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Ag, 07:50 , 03-Сен-21
          • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,andy, 11:57 , 03-Сен-21
      • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Аноним, 08:02 , 03-Сен-21
        • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Аноним, 18:08 , 04-Сен-21
    • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,And, 08:25 , 03-Сен-21
      • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Аноним, 10:32 , 03-Сен-21
  • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Аноним, 08:06 , 03-Сен-21
  • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Ненавижу SJW, 09:13 , 03-Сен-21
    • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Аноним, 18:09 , 04-Сен-21
• Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,бедный буратино, 00:18 , 03-Сен-21
• Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Dzen Python, 00:36 , 03-Сен-21
  • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Аноньимъ, 01:13 , 03-Сен-21
    • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Аноним, 18:11 , 04-Сен-21
• Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Аноньимъ, 01:12 , 03-Сен-21
  • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,пох., 10:12 , 03-Сен-21
    • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Аноньимъ, 18:03 , 03-Сен-21
      • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,пох., 19:12 , 03-Сен-21
        • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Аноньимъ, 19:31 , 03-Сен-21
  • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,another_one, 09:45 , 04-Сен-21
• Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Аноним, 05:11 , 03-Сен-21
• Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Какаянахренразница, 07:54 , 03-Сен-21
• Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,And, 08:04 , 03-Сен-21
• Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Аноним, 08:25 , 03-Сен-21
  • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Аноним, 08:34 , 03-Сен-21
  • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Аноним, 08:34 , 03-Сен-21
  • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Node js, 10:00 , 03-Сен-21
• Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Аноним, 08:57 , 03-Сен-21
  • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Аноним, 09:04 , 03-Сен-21
    • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,anonymous, 09:40 , 03-Сен-21
  • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,1, 09:37 , 03-Сен-21
  • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Node js, 10:02 , 03-Сен-21
    • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Аноньимъ, 15:02 , 03-Сен-21
• Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Аноним, 11:58 , 03-Сен-21
  • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Какаянахренразница, 12:07 , 03-Сен-21
• Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Алексей, 14:16 , 03-Сен-21
  • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Аноним, 18:20 , 04-Сен-21
• Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Аноним, 18:21 , 03-Сен-21
  • Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,пох., 19:14 , 03-Сен-21
• Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Аноним, 19:49 , 03-Сен-21
• Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн за...,Онаним, 23:41 , 03-Сен-21

По предварительным расчётам, за полгода уязвимость охватывает всё население Мидгарда )

Надоже, даже без работы с памятью. Кто бы сомневался. Толи ещё Rust ожидает.

> Надоже, даже без работы с памятью.

Зато с eval'ом.

Просто был бы дырявый софт на Rust. Те же яйца только в профиль и большим количеством разных скобочек [{(<.

> Проблема устранена в выпуске pac-resolver 5.0.0, который переведён на использование библиотеки vm2, предоставляющей уровень изоляции для запуска не заслуживающего доверие кода.

Эта проблема решается выкидыванием всех этих NPM и им подобных каргоф. ДНК конечно поврежденно навсегда, но есть благотварительные организации которые таких хотябы изолируют.

Я правильно тебя понял, ты предлагаешь писать код без библиотек вообще? Или у тебя есть гарантия того, что та либа, которую ты взял без некоторого менеджера зависимостей, неуязвима?

> писать код без библиотек вообще?

Сейчас библиотеки такие, что сложность написания кода без них гораздо ниже, чем использовать их.

Сразу видно, что ничего сложнее hello world в жизни не писал.

Хм, "hello, world" без библиотеки ввода-вывода.. ну это только на Assembler-е. И чур (на x86) без ф-ций BIOS.

> Хм, "hello, world" без библиотеки ввода-вывода.. ну это только на Assembler-е. И чур (на x86) без > ф-ций BIOS.

В современных, многозадачных, операционных системах, Вам не дадут из защищенного режима вызывать функции BIOS. К примеру, в Linux'е, вам следует воспользоваться int80h для x86, либо вызовом syscall для x86-64.
https://packagecloud.io/blog/the-definitive-guide-to-linux-s...

И ты гарантируешь отсутсвие уязвимостей в этом своем коде без библиотек?

Не в ту сторону воюете
Против библиотек никто не выступал
И есть разница между уникальной уязвимостью одного проекта и массовой

> Я правильно тебя понял, ты предлагаешь писать код без библиотек вообще? Или у тебя есть гарантия того, что та либа, которую ты взял без некоторого менеджера зависимостей, неуязвима?

Авторы изделий на JS и для JS, к сожалению, биологически повреждены и любой результат их попыток их труда опасен низким качеством.

Что с библиотеками, что без библиотек... JS - это как Жигули - на вид приемлемо, в эксплуатации - есть много людей, которые обучены производить несравненно более качественные в применении продукты жизнедеятельности.

В изначальном сообщении написано следующее

> проблема решается выкидыванием всех этих NPM и им подобных каргоф

Под "подобные карги" попадают так же всякие maven, cpan, conan и прочее выполняющее управление зависимостями. Сообщение анона говорит, что это не нужно, тогда библиотеками нужно рулить руками или не использовать библиотеки. Но разве от того, что библиотека завезена в проект руками, появляется больше гарантии на отсутсвие уязвимости в них? Или появляется больше гарантии, что в твоем велосипеде этих уязвимостей нет?

Жаль что тебя не изолировали

Ага-ага. Ты и сам не юзаешь сторонние библиотеки или только советуешь?

Там было хоть слово против библиотек?

Всегда такое было, и вот опять.

Вау! В eval-языке нашли "уязвимость" - он может исполнить код, пришедший как данные!

Кому-то показалось хорошей идеей автоматически выполнять код пришедший как данные из случайного источника.

Их сейчас с js на rust переучивают ускоренно, чтоб в ядро коммитили

>Указанный API явно помечен в документации как не предназначенный для запуска кода, не заслуживающего доверия, так как он не предоставляет полноценной изоляции запускаемого кода и позволяет получить доступ к изначальному контексту. Проблема устранена в выпуске pac-resolver 5.0.0, который переведён на использование библиотеки vm2, предоставляющей более высокий уровень изоляции, подходящий для запуска не заслуживающего доверия кода.

Я правильно понимаю, что проблему устранили указанием в документации что API теперь предназначено для запуска не заслуживающего доверия кода?

>PAC-файл содержит обычный JavaScript-код с функцией FindProxyForURL, определяющей логику выбора прокси в зависимости от хоста и запрашиваемого URL. Суть уязвимости в том, что для выполнения данного JavaScript-кода в pac-resolver применялся предоставляемый в Node.js API

Чего блин?
Загружать хрен пойми откуда код и выполнять его У СЕБЯ НА СЕРВЕРЕ/приложении чтобы настроить прокси?
Что происходит?
Что это за нафиг такой?
Остановите это немедленно!

> Загружать хрен пойми откуда код и выполнять его У СЕБЯ НА СЕРВЕРЕ/приложении чтобы настроить прокси?
> Что происходит?

обычная настройка wpad происходит. Стандарт netscape 1996го года. Платформенно независимое решение чтоб не бегать всем юзверькам не настраивать вручную.

wpad.dat - таки да, содержит js код. Предназначен для выполнения _браузером_ , который вообще рассчитан на выполнение непойми откуда кодов.

Попутно у одной корпорации зла есть в dns-сервере интересный костылик, не позволяющий первому попавшемуся васяну раздать по всей твоей организации такой файлик. Но то ж корпорация, зла. А в твоем любимом systemd-allshitd - нету костылика. Весь мусор с пола - сразу в рот.

>обычная настройка wpad происходит.
>wpad

Сжечь.

>wpad.dat - таки да, содержит js код. Предназначен для выполнения _браузером_ , который вообще рассчитан на выполнение непойми откуда кодов.

Там есть какое-то оправдание хотя бы для того чтобы вместо настроек прокси выдавать жс код?

Ты тоже разработчик, что-ли? Пойти и прочитать документацию - не?

Код возвращает настройку прокси - отдельно для каждого возможного и невозможного урла, потому что, внезапно, они могут отличаться для разных адресов. Расскажи мне, как это сделать универсальным образом без скриптов?

И дальше - о ужас, вообще сайт откроется! Вполне возможно - в ИНТЕРНЕТЕ! Который тоже может выполнить в твоем браузере - код!

Разница в том, что модные-современные веб-макакеры притащили технологию, предназначенную для исполнения исключительно браузером (где этот код был тщательно ограничен в возможностях что-то пощупать вне браузера) - в саму систему. Поскольку изучить языки отличные от js уже были не в силах.

А набор ограничений оставили по дороге - потому что нахрен бы был такой код не нужен никому (вспомним жаба-аплеты которые ничего толком не умели делать именно потому что ничего и не могли)

Теперь вот - костылят подпорки уже на самом js. Получается не всегда.

> Код возвращает настройку прокси - отдельно для каждого возможного и невозможного урла,
> потому что, внезапно, они могут отличаться для разных адресов. Расскажи мне,
> как это сделать универсальным образом без скриптов?

А как это делает этот скрипт?
Просто списка с фильтром по регуляркам недостаточно?

>И дальше - о ужас, вообще сайт откроется! Вполне возможно - в ИНТЕРНЕТЕ! Который тоже может выполнить в твоем браузере - код!

Этот код как бы обычно остаётся в песочнице бравзера и не изменяет настройки бравзера.
Тоже скотство конечно.

> Я правильно понимаю, что проблему устранили указанием в документации что API теперь предназначено для запуска не заслуживающего доверия кода?

В документации было и осталось предупреждение, что не через vm нельзя запускать недоверенный код. А проблему устранили переводом pac-resolver на стороннюю либу vm2, в которой крайне огороженная песочница с ограниченным доступом к текущему runtime.

Ура!!! 3 миллиона уязвимостей по всему миру!

Да не может такого быть!

> Указанный API явно помечен в документации как не предназначенный для запуска кода, не заслуживающего доверия, так как он не предоставляет полноценной изоляции запускаемого кода и позволяет получить доступ к изначальному контексту.

Красивая халтура. (Такое не публикуют, или код плохой. Это тот признак, по которому 3 млн. загрузок в неделю не справляются с правильным долгосрочным выбором технологии.)

Неужели Node.js всё еще кто-то использует?

Технологии на базе Жабасрипта рулят.

Да, ёжики.

Дурак! Это я вас пользую!

Зачем 3 млн юзеров в неделю парсят PAC файлы?

Это автоматические загрузки по дереву нпм-зависимостей. Юзеры даже не в курсе.

Воистину по дереву.

leftpad ... такой leftpad

> Зачем 3 млн юзеров в неделю парсят PAC файлы?

а кто их спрашивал-то?!

>> Зачем 3 млн юзеров в неделю парсят PAC файлы?
> а кто их спрашивал-то?!

Подробности интересны.

Какие конкретно либы и для чего.

Можно подумать в этом вашем Пэйтоунэ не так же.

Слабенькая отмазка.

> PAC-файл содержит обычный JavaScript-код

Это по определению "программа из одной строки на Perl", то есть JavaScript. Ровно с теми же последствиями. Только тут не нужно дурака перед клавиатурой, браузер скачает и запустит автоматически. Какая прелесть.

Не понял, но осуждаю?

Браузер как и пользователь вообще не причем
Выполняет nodejs, само
Потому что взяли кусок браузерной технологии, где оно к месту и всё хорошо, и вкорячили на сервер, где оно дырка

Нужен meta npm с рейтингом модулей. За уязвимости рейтинг само собой снижать.

> Нужен meta npm с рейтингом модулей. За уязвимости рейтинг само собой снижать.

повышать же ж! Кто не сидел тот не паца...ой, простите, окошком ошибся. В ком не нашли еще увизгвимостей - тот значит 100% ненужное ненужно!

кто сказал, что это уязвимость?

Любителей тянуть в рот всё свеженькое из непонятных источников опять поимели. Впрочем, так им и надо.