Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обход верификации в библиотеке xml-crypto, насчитывающей миллион загрузок в неделю"	+/–
Сообщение от opennews (?), 03-Май-24, 23:22
В JavaScript-библиотеке xml-crypto, используемой в качестве зависимости у 402 проектов и загружаемой из каталога NPM около миллиона раз каждую неделю, выявлена уязвимость (CVE-2024-32962), которой присвоен максимальный уровень опасности (10 из 10). Библиотека предоставляет функции для шифрования и верификации по цифровой подписи XML-документов. Уязвимость даёт возможность атакующему заверить фиктивный документ, который в конфигурации по умолчанию будет успешно верифицирован библиотекой, несмотря на то, что он подписан не тем ключом, что указан для проверки подписей. Проблема проявляется начина с версии  xml-crypto 4.0.0 и без лишней огласки устранена в январском выпуске 6.0.0... Подробнее: https://www.opennet.me/opennews/art.shtml?num=61112
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от penetrator (?), 03-Май-24, 23:22	+1 +/–
ай хорошо, молодцы малпы, показательно
Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от Герострат (?), 03-Май-24, 23:25	+/–
Миллион дыр в неделю, только вдумайтесь
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21

3. Сообщение от Аноним (3), 03-Май-24, 23:49	–5 +/–
> Проблема проявляется начина с версии xml-crypto 4.0.0 и без лишней огласки устранена в январском выпуске 6.0.0. Плюсовики не отстают https://github.com/PowerDNS/pdns/issues/12234 Тихонько прикрыли гигадырень, и решили не упоминать об этом в release notes https://doc.powerdns.com/authoritative/changelog/4.9.html
Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Аноним (6), 04-Май-24, 00:47	+/–
Все ругали это в C и C++, но видимо скоро вернемся к тому от чего ушли - к подключению зависимостей папочками в проекте. Иначе проблема безопасности публичных репозиториев по-видимому не решаема.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #12

8. Сообщение от Аноним (3), 04-Май-24, 01:41	+6 +/–
Простите, и как бы это помогло от уязвимости в описываемом случае? Скорее наоборот, остались бы несколько сотен проектов, авторам которых было недосуг скачивать версию с прикрытой дырой себе в папочку™.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

9. Сообщение от анонка (?), 04-Май-24, 01:46	–1 +/–
Судя по коммиту, там даже и не сразу поняли, что это уязвимость). Коммит отправлен в январе, а отчёт о дыре отправлен пару дней назад. Там и переменные называются максимально похоже, подозреваю, что автор просто перепутал. Хотя там тесты есть и они вроде как работали. ЧТо тестировали тогда?
Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от Аноним (11), 04-Май-24, 02:34	–1 +/–
>Библиотека предоставляет функции для шифрования и верификации по цифровой подписи XML-документов. Лишь бы gpg/ssh не использовать.
Ответить | Правка | Наверх | Cообщить модератору

12. Сообщение от Прадед (?), 04-Май-24, 02:50	+1 +/–
А она и не решаема. Неужели ли непонятно, что каждая зависимость это даже не то чтобы дыра, там лишь бы оно вообще работало. Безопасность там вообще аут оф скоуп. Это вообще отдельный жанр.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

15. Сообщение от vitalif (ok), 04-Май-24, 09:51	+1 +/–
Багофича ) для выявления тех, кто код не тестирует ))) и тех, кто тестирует только успешную валидацию, а неуспешную не проверяет))
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

17. Сообщение от Аноним (17), 04-Май-24, 10:29	+/–
Если код компилируется значит работает (tm)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

18. Сообщение от Аноним (17), 04-Май-24, 10:31	+/–
Т.е. по мнению сообщество xz это злонамеренный троян. А тут просто чудовищная ошибка? И у этой ошибки нет ни имени ни адреса? И вообще никто не виноват.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20

19. Сообщение от Lui Kang (?), 04-Май-24, 10:52	+1 +/–
> Проблема проявляется начина с версии xml-crypto 4.0.0 и без лишней огласки устранена в январском выпуске 6.0.0. Хорошо, хоть только сейчас огласили, выждали время. А разработчики, проектные менеджеры и руководство компаний часто пренебрегает обновлениями компонентов. А это нужно делать регулярно.
Ответить | Правка | Наверх | Cообщить модератору

20. Сообщение от Аноним (20), 04-Май-24, 11:22	+/–
Сравнение с xz было б более уместно, если здесь тоже был удаленный доступ к системе или похожее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

21. Сообщение от кент кента (?), 04-Май-24, 21:23	+/–
>Миллион дыр в неделю нет, миллион коммитов в корявых CI, которые выкачивают каждый раз эту нишевую либу по-новой. не думаю, что на планете много проектов где на жабоскрипте проверяют подписи в XMLях
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

22. Сообщение от YetAnotherOnanym (ok), 05-Май-24, 15:11	+/–
> загружаемой из каталога NPM Пишите заголовки правильно - не "в библиотеке xml-crypto", а "в javascript-библиотеке xml-crypto", чтобы сразу было понятно, из-под какой коровы удобрение. И чтоб два раза не вставать - вот это умиляет (https://www.npmjs.com/package/xml-crypto): > A pre requisite it to have openssl installed and its /bin to be on the system path Ну, то есть, вы поняли - оно не либу дёргает за API, а бинарник запускает.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема