Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в http2-модуле из состава Node.js [BR]"	+/–
Сообщение от opennews (??), 31-Июл-21, 09:10
Разработчики серверной JavaScript-платформы Node.js опубликовали корректирующие выпуски 12.22.4, 14.17.4 и 16.6.0, в которых частично устранена уязвимость (CVE-2021-22930) в модуле http2 (клиент HTTP/2.0), позволяющая инициировать крах процесса или потенциально организовать выполнение своего кода в системе при обращении к подконтрольному злоумышленнику хосту... Подробнее: https://www.opennet.me/opennews/art.shtml?num=55568
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 31-Июл-21, 09:38	+5 +/–
Ага, круто. Исправили, но не до конца, и заодно всем об этом сказали. Кто-то еще держит у себя нодежс?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

3. Сообщение от Аноним (4), 31-Июл-21, 09:48	+/–
А эксплойт то в части на плюсах. Это так мило. https://github.com/nodejs/node/commit/e47d2d25775336ded70fcf...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #23

4. Сообщение от Аноним (4), 31-Июл-21, 09:54	+1 +/–
Умные люди перед node ставят nginx (с включенным http2) и проксируют в node простым http.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #5, #7, #28, #32, #39

5. Сообщение от Онаним (?), 31-Июл-21, 10:47	+1 +/–
Чего проксируют-то? Речь о клиентской либе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #22

6. Сообщение от Онаним (?), 31-Июл-21, 10:47	–1 +/–
Плять. Хорошо что я это счастье в сеть пропускаю по-минимуму, ни одного критичного места на нём ни у одного смузихлёба так и нет.
Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Аноним (7), 31-Июл-21, 10:48	+10 +/–
Умные люди на nodejs не пишут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #9, #30, #40

8. Сообщение от нах.. (?), 31-Июл-21, 10:59	+6 +/–
И не говори, нодовцы не умеют ни явя ни в плюсы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #11, #20, #48

9. Сообщение от Самый Лучший Гусь (?), 31-Июл-21, 11:03	+1 +/–
Умные люди вообще не пишут и не говорят
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #24, #25

10. Сообщение от Аноним (10), 31-Июл-21, 11:23	+/–
>JavaScript-платформы Node.js >Проблема вызвана обращением к уже освобождённой области памяти Как так-то?! JavaScript это же безопасТная работа с памятью!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #15

11. Сообщение от Аноним (11), 31-Июл-21, 11:43	–1 +/–
у меня наоборот, могу в ява и плюсы, а жс тяжко даётся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #12

12. Сообщение от kissmyass (?), 31-Июл-21, 12:03	–3 +/–
потому что, чтобы любить JS надо быть дегенератом я его тоже ненавижу, но использую - выбора нет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #13, #41

13. Сообщение от Аноним (13), 31-Июл-21, 12:10	+/–
Ждем распространения wasm чтобы фронт можно было писать на человеческих языках
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #18, #33

14. Сообщение от Аноним (14), 31-Июл-21, 12:16	+/–
Там, наверное, модуль на С.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

15. Сообщение от Аноним (15), 31-Июл-21, 12:28	–1 +/–
Анон, ну надо же читать новость перед написание коммента! Там же ссылка на исправление есть https://github.com/nodejs/node/commit/b263f2585ab53f56e0e22b... - node_http2.cc
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #53

16. Сообщение от Аноним (16), 31-Июл-21, 12:28	+/–
> Уязвимость в http2-модуле из состава Node.js Ну что сказать... http2... Node.js... Уязвимость :)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #19

17. Сообщение от Аноним (17), 31-Июл-21, 12:36	+/–
Ночь. Улица. Фонарь. Аптека
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #34

18. Сообщение от kissmyass (?), 31-Июл-21, 13:57	–1 +/–
> Ждем распространения wasm чтобы фронт можно было писать на человеческих языках ну хз я и так юзаю Bridge.NET, но его прикрыли из-за не сильно большой популярности но уже есть форк H5 называется, можно писать на C# минус только что WASM (Blazor), что бридж - это размер файлов рантайма лишний мегабайт или даже два
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

19. Сообщение от Аноним (4), 31-Июл-21, 14:26	–1 +/–
> Ну что сказать... http2... Node.js... Уязвимость :) Ты пропусти самое главное: http2... Node.js... C++... Уязвимость :) Как говорится, из сказки дырявый язык не выкинешь...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

20. Сообщение от макпыф (ok), 31-Июл-21, 15:07	+/–
причем тут java?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #36

21. Сообщение от НяшМяш (ok), 31-Июл-21, 15:11	+1 +/–
Автор, теперь ты обязан каждую уязвимость здесь постить )) Например, эту "пофиксили" в 14.17.4. В 14.17.2 пофиксили ещё две CVE (инсталлятор на винде и OOB в DNS lookup). В 14.16.1 пофиксили 3 CVE (две OpenSSL и одну с npm). Только на текущем LTS тысячи их.
Ответить | Правка | Наверх | Cообщить модератору

22. Сообщение от НяшМяш (ok), 31-Июл-21, 15:12	+/–
В ноде в http и http2 находятся как клиент, так и сервер.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #50

23. Сообщение от ХрюХрю (?), 31-Июл-21, 15:28	–1 +/–
вот вот ноду надо на расте переписать...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #26

24. Сообщение от Аноним (24), 31-Июл-21, 15:40	+2 +/–
Если ребёнок с психическим расстроиством не смог заговорить в восемь лет. Не беда. Аноним с опеннета сказал что пацан гений.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

25. Сообщение от ъ (?), 31-Июл-21, 16:18	+2 +/–
т.у. ты не умён.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

26. Сообщение от Аноноша (?), 31-Июл-21, 18:33	+/–
уже есть deno
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

27. Сообщение от Аноним (27), 31-Июл-21, 19:24	+/–
Не вижу комента, что надо было писать на Rust %)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29, #31

28. Сообщение от Аноним (2), 31-Июл-21, 20:05	–3 +/–
Вообще проблема видимо незамеченной осталась. В браузерах нодажс используется. Если бы вы собирали их из исходников знали бы что без ноды собрать это надо постараться. А потом включаем мозг и догоняем что это уязвимость и браузеров. Клиент и сервер в одной пачке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #35

29. Сообщение от Аноним (29), 31-Июл-21, 21:20	+/–
Не на Rust, а на TypeScript.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

30. Сообщение от Аноним (30), 31-Июл-21, 23:55	+1 +/–
На чем же они пишут?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

31. Сообщение от Аноним (30), 31-Июл-21, 23:57	–1 +/–
Было выше. https://deno.land/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

32. Сообщение от w3c всё (?), 01-Авг-21, 00:49	+1 +/–
умные люди юзают http1.1 + websocket + ssh
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

33. Сообщение от w3c всё (?), 01-Авг-21, 00:52	+/–
сиси-плюсплюс - с емскриптером, go со своим встроенным компилятором - аж бегом
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

34. Сообщение от десу всё (?), 01-Авг-21, 00:55	+2 +/–
Стол. Компьютер. Аниме. Десу-Десу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #47

35. Сообщение от Аноним (35), 01-Авг-21, 00:59	+/–
В Chromium-браузерах используется Javascript-движок V8, тот же, который в NodeJS. Но тут обратный путь - в NodeJS движок взят из Хромиума. А что нужно для сборки - это вообще смешной аргумент. Для сборки нужен компилятор C++, это не означает, что компилятор C++ будет в составе браузера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #38

36. Сообщение от Аноним (35), 01-Авг-21, 01:03	+/–
А что не так? В nodejs нет кода на java, значит, разработчики nodejs не умеют в java. Всё логично! :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

37. Сообщение от Аноним (35), 01-Авг-21, 01:05	+3 +/–
http/2 настолько переусложненный протокол, что той или иной серьезности уязвимости в серверах и клиентах, написанных на "опасных" языках, были вообще в каждой реализации. А где не были, там их стоит поискать :-)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #52

38. Сообщение от Аноним (38), 01-Авг-21, 07:10	+/–
В мире существуют не только хромовые браузеры. Но да, хорошо если эта подозрительная дыра не затронула браузеры по полной программе. И для Firefox нужен Rust для сборки. Что в Gentoo приблизительно уравнивает первую сборку браузеров по скорости, но потом более легкий Firefox собирается быстрее, потому что Rust обновляют относительно редко.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

39. Сообщение от Нанобот (ok), 01-Авг-21, 09:40	+1 +/–
> клиент HTTP/2.0 > Умные люди перед node ставят nginx 😂 И как, помогает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

40. Сообщение от Отражение луны (ok), 01-Авг-21, 13:18	+/–
Да, пхп наше все (нет)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

41. Сообщение от Отражение луны (ok), 01-Авг-21, 13:21	+/–
Чтобы js любить нужно его понимать. Т.е. он не для джунов и не для опеннетовцев
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #42

42. Сообщение от kissmyass (?), 01-Авг-21, 14:36	–1 +/–
> Чтобы js любить нужно его понимать. Т.е. он не для джунов и > не для опеннетовцев а что там непонятного, на заре интернета придумали якобы простой и полностью упоротый язык в меру своих знаний, за 20 лет накачали это УГ стероидами от того что ты понимаешь парадигму JS она не становится конфеткой
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #43

43. Сообщение от Отражение луны (ok), 01-Авг-21, 18:49	+/–
Парадигма js с тех пор cильно сместилась. В общем-то оснвным преимуществом js является асинхронность, отлично поддеживаемая на уровне самого языка. Я в общем-то готов писать на любом языке, имеющем event loop под копотом, потому что это эффективно с точки зрения потребляемых ресурсов. Но вот беда - ни питон, ни джава в полноценную асинхронность так и не смогли. Про .net не скажу, не юзал. Понимание js в общем-то сейчас и сводится к пониманию ивент лупа, замыканий, и тому, как не засрать память. Разобраться с этим не сложно, но многие вещи так же не лежат на поверхности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #44, #46

44. Сообщение от kissmyass (?), 02-Авг-21, 05:58	+/–
> Парадигма js с тех пор cильно сместилась. > В общем-то оснвным преимуществом js является асинхронность, отлично поддеживаемая на уровне > самого языка. Я в общем-то готов писать на любом языке, имеющем > event loop под копотом, потому что это эффективно с точки зрения > потребляемых ресурсов. Но вот беда - ни питон, ни джава в > полноценную асинхронность так и не смогли. Про .net не скажу, не > юзал. > Понимание js в общем-то сейчас и сводится к пониманию ивент лупа, замыканий, > и тому, как не засрать память. Разобраться с этим не сложно, > но многие вещи так же не лежат на поверхности. отлично поддерживаемый колбек хелом? в дотнете async появился лет на 5 раньше в джава все сложнее там миллион разных велосипедов: https://www.baeldung.com/java-asynchronous-programming в дотнет кстати помимо тасков тоже дохера вских пулов, и Parallel'ов, юзай что хочешь да все эти евент лупы и замыкания нафиг не вперлись, когда тебе нужен предсказумый и легко читаемый код, кому он нахрен нужен ООП на прототипах, динамическая типизация и прочий цирк если JS такой великолепный (нет), то накой они придумало полу-костыль в виде TS? накой нам очердной супер UI фреймворк, который вот сейчас точно решит все проблемы (нет) в общем пчелы не доказывают мухам, что мед лучше чем говно, и я не буду ))) другое дело что не обмазаться не получится, если делаешь клиентскую часть, но это совсем другая история
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #45, #54

45. Сообщение от Аноним (4), 02-Авг-21, 09:46	–1 +/–
Давно у нас отрыжка оффтопика стала медом то? Поддержка нормальных ОС только недавно появилась, и то стремно пользоваться. Вся твоя простыня одно большое ненужно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

46. Сообщение от 1 (??), 02-Авг-21, 10:09	+/–
юзай Erlang Льюк !
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #56

47. Сообщение от Аноним (4), 02-Авг-21, 16:42	+1 +/–
Бака.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

48. Сообщение от Аноним (4), 02-Авг-21, 16:48	+/–
Так либу писали не они https://nghttp2.org/ Вот и доверяй плюсоватым пограмистам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

49. Сообщение от Аноним (4), 02-Авг-21, 16:52	+/–
Баг то не в nodejs, а в https://nghttp2.org/ Это не одно и тоже, а внешняя зависимость (как и openSSL). Автор новости, похайповал?
Ответить | Правка | Наверх | Cообщить модератору

50. Сообщение от Аноним (50), 03-Авг-21, 10:47	+/–
Уязвимость то в клиенте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #55

51. Сообщение от Аноним (53), 03-Авг-21, 15:54	–1 +/–
> Уязвимость в http2-модуле из состава Node.js > Разработчики серверной JavaScript-платформы Node.js О да, разработчики. Как на расте
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #58

52. Сообщение от Аноним (53), 03-Авг-21, 18:02	+/–
Ой, языковед безопастных языков. в Node.js тоже нет работы с памятью. и что?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

53. Сообщение от Аноним (53), 03-Авг-21, 18:57	+/–
Естественно. Если обезьянкам или растоманам доверить важный код то так и выйдет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #57

54. Сообщение от Отражение луны (ok), 04-Авг-21, 10:48	–1 +/–
Колбэкхэл случается когда не умеешь писать код. В целом никаких с ним проблем нет если понимание языка на достаточном уровне. TS на самом деле не нужен, он привносит больше проблем чем решает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

55. Сообщение от НяшМяш (ok), 04-Авг-21, 22:20	+/–
Имеется ввиду, что в ноде библиотеки не разделены на серверную и клиентскую часть. И очень часто уязвимость касается и того, и другого из-за общей кодовой базы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

56. Сообщение от Аноним (56), 05-Авг-21, 06:55	+/–
> Erlang > LL = [X*X || X <- L], Это что за загадочные закорючки? Не про обфускаторы кода речь вроде шла.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

57. Сообщение от another_one (ok), 07-Авг-21, 15:44	+/–
Согласен, си-прогеры те еще обезьянки - https://nghttp2.org/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

58. Сообщение от another_one (ok), 07-Авг-21, 15:46	+/–
Чистокровные сишники же накосячили, впрочем, как всегда -  https://nghttp2.org/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема