Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Со дна постучали: внедрение вредоносного кода в проекты Node.js 27.03.16 18:37
Publisher: dl <Dmitry Leonov>
|
Со дна постучали: внедрение вредоносного кода в проекты Node.js
Softpedia http://news.softpedia.com/news/node-js-package-manager-vulnerable-to-malicious-worm-packages-502216.shtml
Любопытные вещи выясняются насчет npm. Недавняя весёлая история с leftpad [ https://bugtraq.ru/rsn/archive/2016/03/11.html ] продемонстрировала, какие могут возникнуть проблемы от удаления чего-то из npm. Оказывается, еще сильней рвануть может от добавления.
Исследователь из Google Сэм Сакконе (Sam Saccone) еще в начале года проинформировал npm о неприятной уязвимости, способной привести к распространению вредоносного кода по множеству зависимых друг от друга пакетов. В феврале информация об уязвимости была раскрыта, а на днях добралась до CERT [ http://www.kb.cert.org/vuls/id/319816 ], после чего привлекла всеобщее внимание.
Проблема в первую очередь связана с тем, что при установке пакета из npm могут выполняться вспомогательные скрипты (так называемые lifecycle scripts). Выполняются они обычно с правами текущего пользователя,...
Полный текст
|
|
|
подробно о проекте
Анализ криптографических сетевых...
