forum.opennet.ru

"Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Есть идеи по улучшению форума и сайта ? Пишите.

. "Атака на зависимости позволила выполнить код на серверах Pay..."	+1 +/–
Сообщение от Lex (??), 10-Фев-21, 11:20
> Проблема в том, что пакетные менеджеры, такие как npm .. пытаются загрузить внутренние зависимости компаний в том числе и из публичных репозиториев Они что, объявляли их просто как пакеты, а не ссылкой на каталог/файл типа file:// или ссылки на конкретную гитОвую репу типа git://github.com/<user>/<project>.git#<branch> !? -Если так, то руководителей отделов разработки тех контор надо гнать сс.ными тряпками, поскольку в противном случае пакет вообще почти откуда угодно может стягиваться даже просто ввиду случайного совпадения имен
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний, opennews, 10-Фев-21, 11:03 [смотреть все]

Нужно больше зависимостей и скриптов установки , Leftpad, 10-Фев-21, 11:03 (1) //
- нужно больше содержательных комментариев на опеннет ру, Лудакрис, 10-Фев-21, 11:08 (3) //
  - Нужно больше коментариевпытающихся в сарказм, Аноним, 10-Фев-21, 11:15 (6) //
    - будь осторожен в своих желаниях мой сарказм обладает силой, разрушающей любую л, Лудакрис, 10-Фев-21, 11:31 (12)
    - Нужно больше подстрекателей к сарказму , Аноним, 10-Фев-21, 13:24 (58)
- Не зря же в расте даже базовые возможности - во внешних модулях Растаманы приго, Аноним, 10-Фев-21, 11:18 (8) //
  - https www reddit com r rust comments lgl7bf is_cargo_vulnerable_to_this_supply, Аноним, 10-Фев-21, 13:30 (65) //
    - Озвучу для тех, кому лень переходить Нет, в карго такой уязвимости нет Но это в, topin89, 10-Фев-21, 20:08 (147)
      - В смысле, никто не думал заранее Я всегда считал это багом многих утилит работы , rex, 18-Фев-21, 13:30 (202)
- Больше зависимостей богу зависимостей Да здравствует leftpad , Аноним, 10-Фев-21, 11:20 (10) //
  - Да здравствует Haskell , Аноним, 10-Фев-21, 15:04 (101)
  - ЛапкоКодеры импортируют на лету непроверенное гавно из внешних источников в прод, ЧешкиЧехова, 11-Фев-21, 19:07 (180) //
    - давайте тогда делать вебсайты без этих ваших фреймворков и MVC, будем складывать, Aga, 14-Фев-21, 00:03 (196)
      - ЧСХ пока так делали - работало явно лучше Во всяком случае, гиг RAM на рендер н, Аноним, 14-Фев-21, 08:14 (198)
        
        Принцип модульности Орлова если из распечатки одного модуля программы можно сви, rico, 18-Фев-21, 18:52 (203)
    - Вполне нормальное явление Иначе зачем все эти либы и фреймворки, сильные обойду, RedEyedMan, 26-Фев-21, 14:09 (204)
- Нужно больше васянских библиотек и костылей на вызов одной функции , Dzen Python, 10-Фев-21, 12:50 (38) //
  - Так, блин, это ж программировать надо А вот это вебмакаки не умеют Ну, скольк, Аноним, 12-Фев-21, 03:38 (184)
- Правильно, если у тебя в большом проекте 1 000 000 однострочников и ты использов, Аноним, 10-Фев-21, 13:08 (48) //
  - Вообще-то, когда приходится фиксить сотни чужих пакетов, это достаточный повод с, YetAnotherOnanym, 10-Фев-21, 14:19 (84) //
    - Или заводить трактор, взяв месяц больничного и месяц отпуска, оплачиваемых , Bob, 12-Фев-21, 00:09 (183)
  - Так писали наши деды Раньше позорным считалось переиспользование кода не только, Аноним, 10-Фев-21, 15:06 (102) //
    - или просто Java-программист, italliano monkey, 11-Фев-21, 00:03 (157)
    - Наши деды славные победы, вот где наши деды , Sample, 01-Мрт-21, 14:58 (205)
  - то ты сделал что-то ну вот вообще совсем не так , Аноним, 12-Фев-21, 03:39 (185)
- Вообще от зависимостей надо лечиться, а то в диспансер на учёт поставят , InuYasha, 10-Фев-21, 22:27 (153)
- Ваш комментарий в моей голове был озвучен голосом нежити из Варкрафта 3 , Аноним, 15-Фев-21, 14:14 (200)
всё гениальное просто, Леголас, 10-Фев-21, 11:06 (2) //
- Природа красива в простоте сложности и сложности простоты Не удаётся скрыться о, AHOHUM, 10-Фев-21, 13:14 (51) //
  - Недавно я с удивлением заметил, какому количеству полезных вещей мы обязаны раст, Аноним, 13-Фев-21, 00:49 (194)
Всё ещё проще -- надо было просто придумать гит и гитхабы Смузисосы-линуксоиды,, DildoZilla, 10-Фев-21, 11:14 (4)
Дыра Раста проблема тоже касается , Аноним, 10-Фев-21, 11:15 (5) //
- а есть упоминание читайте внимательнее, глупые аноны, это нелегко, знаю, но пыт, Лудакрис, 10-Фев-21, 11:36 (18) //
  - Нет упоминанй, потому что Растом и его пакетником в не пользуются , Аноним, 10-Фев-21, 11:41 (21)
  - Не хами , Аноним, 10-Фев-21, 11:42 (22)
  - Я не тот анон, но там написано в других системах, таких как и дальше привод, Аноним, 10-Фев-21, 13:12 (49) //
    - Проблема ещё шире переменчивость артефактов во внешних сетях Человеки делают не, An O Nim, 10-Фев-21, 16:13 (113)
      - Да В интернете может что угодно в любой момент исчезнуть навсегда, не оставив с, Аноним, 13-Фев-21, 00:51 (195)
- Нет, там нужно указывать registry, откуда качать пакет , Ананимус, 10-Фев-21, 11:53 (25)
- Не раста, а cargo Именно эта не касается, тк зависимости качаются по дефолту с , cheater, 10-Фев-21, 12:03 (30) //
  - Да, это проблема и не только cargo, но и всего раста, потому что все используют , Аноним, 10-Фев-21, 12:09 (32) //
    - cargo умеет работать с git-репозиториями и локальными пакетами , Siborgium, 10-Фев-21, 12:28 (37)
      - И На локальные пакеты он сможет сослаться в уже скомпилированном состоянии А на, Dzen Python, 10-Фев-21, 12:53 (39)
        
        В уже скомпилированном состоянии он будет содержать крейты в себе Раст все расто, Аноним, 10-Фев-21, 13:38 (68)
        
        Карл, а что делали растаманы 15 лет , Аноним, 10-Фев-21, 13:58 (79)
        
        Ничего не делали, я уже говорил в соседнем топике Раскручивали язык, чтобы взят, Ordu, 10-Фев-21, 14:30 (90)
        
        Да у них и сам яп бесполезен без сишно-сиплюсплюсного LLVM а Это не мешаер раст, Аноним, 12-Фев-21, 03:43 (186)
        
        Вопрос некорректен, тк скомпилированный бинарник на расте - это обычный ELF или , cheater, 10-Фев-21, 13:57 (78)
      - Мне интереснее, а можно ли при сборке приложения с помощью cargo использовать то, Аноним, 10-Фев-21, 12:54 (41)
        
        Позволен git, путь, и crates io Можно создать свой https github com rust-lang, Аноним, 10-Фев-21, 13:43 (70)
        
        Называется это crates io registry https doc rust-lang org cargo reference re, Аноним, 10-Фев-21, 13:45 (72)
        написал вместо того что бы сказать нет , Аноним, 10-Фев-21, 17:14 (119)
        
        Это unsafe и не позволяет делать запланированное устаревание, Аноним, 10-Фев-21, 17:56 (128)
        Вопрос не очень понятен 99 999 процентов пакетов в расте имеют внешние завис, cheater, 10-Фев-21, 18:25 (134)
        
        Даже если сделать cargo vendor , то изначально все равно крейты попадут в локал, Аноним, 10-Фев-21, 19:53 (146)
        
        Да, уважающие себя дистрибутивы, вроде Дебиана и Федоры так и делают, поэтому в , Аноним, 10-Фев-21, 20:29 (149)
  - Если у тебя конечно есть доступ к репозиторию , Аноним, 10-Фев-21, 12:22 (34)
- А при чем тут Раст Он же не скриптовый вроде, Аноним, 10-Фев-21, 12:24 (35) //
  - Проблема не в языках, а в пакетных менеджерах , pda, 10-Фев-21, 13:26 (59)
- а там написано, но это ж читать букавки надо, чему многи не обучены , Аноним, 10-Фев-21, 23:38 (156)
- в русте зависимости ставятся через wget https sploit onion l33t sh 124 bash, Аноним, 14-Фев-21, 23:56 (199)
Рекомендации по защите не работают Работает только система, которая безопасна из, тоже Аноним, 10-Фев-21, 11:17 (7)
Они что, объявляли их просто как пакеты, а не ссылкой на каталог файл типа file , Lex, 10-Фев-21, 11:20 (11) //
- Ты что Там жЫ уважаемые девляпсы и сениоры Они такой код пишуть - аж закачаешь, Dzen Python, 10-Фев-21, 12:54 (40) //
  - Не пишут b ь b А рисуют b Ъ b Баги фиксят в продукте исправлением па, AHOHUM, 10-Фев-21, 13:20 (54)
- Скорее уволят начотдела, у которого програмеры пишут недостаточно быстро , YetAnotherOnanym, 10-Фев-21, 17:07 (118)
Так им всем и надо , ryoken, 10-Фев-21, 11:32 (14)
Руст или вообще какой-нибудь петон Мы то знаем , Аноним, 10-Фев-21, 11:46 (23)
А как они узнали их имена , Аноним, 10-Фев-21, 11:51 (24) //
- А если кто то забудет там пароли , Аноним, 10-Фев-21, 11:55 (26) //
  - На этот случай есть безопасТное восстановление паролей через ваши безопасТные мо, Аноним, 14-Фев-21, 05:43 (197)
- ну например если дотнет то прям в файле проекта PackageReference Include Fck U , kissmyass, 10-Фев-21, 12:02 (29) //
  - В смысле Разве оно первым делом не локальный файл ищет Весь смысл подобных шт, Аноним, 10-Фев-21, 14:20 (85) //
    - Локально это где Nuget пакет не поставляется с самим проектом , kissmyass, 10-Фев-21, 15:03 (100)
- а если доступа к коду нет, но есть к бинарникам, то обычно одна ассембли - один , kissmyass, 10-Фев-21, 12:04 (31)
Использовали бы FreeBSD и её дерево портов, проблем бы не было , bsdun, 10-Фев-21, 11:58 (27)
Я тоже немного офигел когда приватные пакеты искались на nuget orgСамый очевидны, kissmyass, 10-Фев-21, 11:58 (28) //
- а Nexus не накачает с nuget org более новых версий, чем локальные , JL2001, 10-Фев-21, 14:21 (86) //
  - Насколько я знаю, там надо апрувить пакеты на кеширование Если пакета нет, то по, kissmyass, 10-Фев-21, 15:09 (103) //
    - возможно от настроек зависит, наш выкачивает автоматом, JL2001, 10-Фев-21, 15:55 (109)
Зависимости эт плохо пнятненько, Fracta1L, 10-Фев-21, 12:10 (33) //
- Сильвупле, Сишные дырени, 10-Фев-21, 20:09 (148)
composer у php не подвержен такой бяке , qweqwe, 10-Фев-21, 12:27 (36) //
- Если сам не наделаешь, Аноним, 10-Фев-21, 14:24 (88)
Защита методом безопасность через неясность - говно В нормальных компаниях про, Аноним, 10-Фев-21, 12:54 (42) //
- Это где так , Аноним, 10-Фев-21, 12:57 (43) //
  - банк, Атон, 10-Фев-21, 21:12 (151) //
    - огласите название, плзбанк резервного фонда сша имени масонов их СБ памятник в п, JL2001, 11-Фев-21, 02:17 (162)
      - крупный банк сбер, втб, райф, другиеникто не знает как, но времени это занимае, Атон, 11-Фев-21, 14:41 (174)
- В нормальных компаниях к тому моменту, когда они выкладывают код имеют зрелый пр, Dzen Python, 10-Фев-21, 12:58 (44)
- Если уж этим на проверены службой безопасности не хватает, то где тогда норма, Аноним, 10-Фев-21, 13:05 (46)
- втф ловите эльфа наркомана , JL2001, 10-Фев-21, 14:23 (87) //
  - Пользователи Windows, скачавшие её с торрентов у Васяна и потом качающие на неё , www2, 10-Фев-21, 15:33 (106) //
    - покажите мне сертефицированную ОСь, где сертефицированные обновления безопасност, JL2001, 10-Фев-21, 18:15 (132)
Этот случай только лишний раз доказывает ущербность идеи автоматических пакетов, Gogi, 10-Фев-21, 13:02 (45) //
- Может наоборот Там где комерческое - то пофиг, барин то платит , Аноним, 10-Фев-21, 13:06 (47) //
  - Считается, что так тоже не катит Т к в полезного в коммерческом вырастет тот, , An O Nim, 10-Фев-21, 16:18 (114)
- а линуксы в продакшене ты как обновляешь, братюнь зы какова ответственность ред, JL2001, 10-Фев-21, 14:28 (89) //
  - Редхат как раз и есть внутренние штатные репо самого дистра RHE Линукс Репы RHE, An O Nim, 10-Фев-21, 16:24 (115) //
    - я купил суппорт редхата, подключил их репы, автор оченьНужнойПрограммы обсфурцир, JL2001, 10-Фев-21, 18:24 (133)
      - В теории ментейнер пакетов это не просто человек-компилятор, а ещё и в код смотр, Аноним, 10-Фев-21, 22:25 (152)
        
        это то понятненько, что смотрит в теории но вот сейчас у меня вопрос - какая от, JL2001, 11-Фев-21, 02:20 (163)
        
        очень простая - ни одна айти контора не будет нести ответственность за твой бизн, fske, 11-Фев-21, 18:44 (178)
  - ну раздавал же редхат непонятно кем и как модифицированный и, что характерно - , пох., 10-Фев-21, 17:50 (124)
- Поддерживаю Собственно поэтому приходится у себя в гит репозитории хранить все , Аноним, 10-Фев-21, 19:01 (139)
- Против выступать легко А что в замен предложите , anonymous, 11-Фев-21, 11:17 (171)
Так я и не понял, это баг или фича , Андрей, 10-Фев-21, 13:13 (50) //
- Это фича А сабж это атака через фичу Почти что социнженерия , Аноним, 10-Фев-21, 13:27 (60)
- Это квантовое программирование, багофича Шредингера Будущее наступило , Аноним, 10-Фев-21, 13:28 (62)
И как раст от такого спасет А вы говорите безопасный язык А раст такая же дыре, Аноним, 10-Фев-21, 13:15 (52) //
- crate не подвержен этой проблеме , pda, 10-Фев-21, 13:30 (63) //
  - Исследования по crate в закрытом доступе, оплата на Patreon , Платные Эксплоиты и Шифровальщики, 10-Фев-21, 13:47 (73)
- Во-первых в rust этой уязвимости нет Во-вторых rust -- это про safety, а не про, anonymous, 11-Фев-21, 11:19 (172)
Не глупо ли это само по себе - выкладывать на публику проекты, зависящие от неоп, Аноним, 10-Фев-21, 13:21 (55) //
- они и не выкладываютв манифесте внутри опубликованного бинарника осталась инфа, JL2001, 10-Фев-21, 14:32 (91)
запускайте npm pip gems install на машинах разработчиков без изоляции, он вам и , Аноним, 10-Фев-21, 13:27 (61) //
- а иначе нихрена не работает и не собирается И что вот делааааать будииим , пох., 10-Фев-21, 17:51 (125) //
  - Микросервис в вебассемблю в контейнер в виртуальную машину в облаке , Аноним, 10-Фев-21, 22:28 (154) //
    - А в яйце игла, Аноним, 16-Фев-21, 18:46 (201)
чо там, пацаны, давно в vlc-ppa публиковали linux-generic-7 0 1 , JL2001, 10-Фев-21, 13:30 (64)
pred post-install запускать от рута, говорили они, ничего не будет, всегда так д, JL2001, 10-Фев-21, 13:36 (66) //
- Оно и без рута отлично линукс юзерам установит сервисы , Аноним, 10-Фев-21, 13:50 (76)
Мой любимый кошмар на работе - почти каждый проект закачивает пол интернета при , PetrG, 10-Фев-21, 13:44 (71) //
- Выкачать всё в локальный репозиторий, сделать локальные пакеты Запретить качать, Аноним, 10-Фев-21, 14:46 (93) //
  - Чем отличается фиксация пакетов с малварями от скачивания актуальной версии малв, Аноним, 10-Фев-21, 14:58 (99) //
    - типо о старых версиях типо уже должна была поднятья шумиха, если что , JL2001, 10-Фев-21, 15:50 (107)
      - Поднялась шумиха, и твой пакетик на проде клиента дальше летит с вирусами , Аноним, 10-Фев-21, 19:27 (142)
А как же Perl 3, Аноним, 10-Фев-21, 13:49 (74) //
- Залатали временно, Аноним, 10-Фев-21, 13:50 (75)
- Вернули домен, Аноним, 10-Фев-21, 14:06 (81) //
  - А зря , Аноним, 12-Фев-21, 14:41 (189)
вот тебе и DevУпс , Аноним, 10-Фев-21, 13:55 (77)
Очевидная атака Удивительно что такие компании при сборке используют зависимост, Аноним, 10-Фев-21, 14:01 (80) //
- Проверки подписи не у всех есть, да и проверяет вначале публичные репы и только , Аноним, 10-Фев-21, 14:06 (82) //
  - Скачивают руками, локально и только потом собираю Шарится по сторонним репам все, Аноним, 10-Фев-21, 15:59 (110)
- Анониму всё очевидно, но 130К грина ушло опять не ему , Страдивариус, 10-Фев-21, 16:46 (116)
Для пистона это норма Даже прожекты с мегатоннами звест на гитхубе, имеют мегат, Аноним, 10-Фев-21, 14:07 (83) //
- Ну все значит нам нужна единая платформа, которая будет монолитна полностью запр, Аноним, 10-Фев-21, 14:44 (92) //
  - Может не нужна платформа, а достаточно просто научиться программировать и делать, Аноним, 10-Фев-21, 14:56 (97) //
    - а вас то научили как коммунизм построить , JL2001, 10-Фев-21, 15:52 (108)
  - Проблема не в зависимостях, а в навыках и культуре разработки, которые хромают у, Аноним, 10-Фев-21, 15:15 (104) //
    - Проблема не в навыках, а в том что рынку нужно быстро и дешево За идеальных сфе, Стереопаштет, 12-Фев-21, 06:10 (187)
А что разве в GO уже переделали Раньше в GO чтобы цеплять файлы с гитхаба нужн, Аноним, 10-Фев-21, 14:54 (94) //
- go mod vendor тебе в помощь В голанге не так , Брат Анон, 10-Фев-21, 16:10 (112)
- в Go - ещё лучше на go get, go лезет к гуглу и спрашивает у него, можно ли скач, еман, 11-Фев-21, 22:15 (181)
Чем проще разработка, тем проще эксплуатация уязвимостей , Оуноуним, 10-Фев-21, 14:56 (96) //
- Тем проще ее заметить Вон в ядре поди чего только нет исходники то открыты , Аноним, 10-Фев-21, 14:58 (98) //
  - И как, заметили Пока чуваки не пришли с мешком для денег , пох., 10-Фев-21, 17:53 (126) //
    - Заманивать хакера на живца деньги печеньки , Аноним, 10-Фев-21, 19:30 (145)
Странно что никто не озадачился проверкой базовых образов на которых собираются , Erley, 10-Фев-21, 15:23 (105) //
- Местные комментаторы уже давно знают что даже в надежном источнике с проверенной, Аноним, 10-Фев-21, 19:29 (144) //
  - плюсую, бро 111, JL2001, 11-Фев-21, 02:12 (161)
Так-то вендоринг в golang великая сила Правда, это тоже не спасёт, если внешний, Брат Анон, 10-Фев-21, 16:09 (111)
Хахаха npn, pip , rubygems В следующем выпуске ржавый карго Бугага Сейчас его , Аноним, 10-Фев-21, 17:01 (117) //
- Миллиарды зависимостей зависимостей от зависимостей - как раз успешно уже сделал, пох., 10-Фев-21, 17:56 (127)
Похоже, что пакетный ад Javascript дал о себе знать , Аноним, 10-Фев-21, 17:17 (120) //
- так и тут кровавая рука жаваскрипта , JL2001, 10-Фев-21, 18:28 (135) //
  - Не так страшен жараскрипт как те кто на нем пишут , Аноним, 10-Фев-21, 19:28 (143) //
    - как то, что на нём пишут , InuYasha, 10-Фев-21, 22:29 (155)
Вообще-то когда скачивается пакет, должна подпись проверяться , Аноним, 10-Фев-21, 17:24 (121) //
- дык, норм у него была подпись - в точности того чувака, который его честно созда, пох., 10-Фев-21, 17:57 (129)
- так она и проверилась, и вернаяно репозиторий другой и автор пакета другойя не з, JL2001, 10-Фев-21, 18:30 (136) //
  - Есть лучше вариант 8212 пинить версии пакетов и всех зависимостей конечно и, Аноним, 11-Фев-21, 05:19 (167) //
    - у меня есть проект-либа и 100500 зависящих от неё проектовя апаю версию либы и д, JL2001, 11-Фев-21, 18:45 (179)
Зачем тестировать Просто пользуйтесь Пользуйтесь все Пока гром не грянет, муж, mumu, 10-Фев-21, 17:24 (122) //
- Ну ты же понимаешь, что необходимость поддерживать функции оригинала скачав его, пох., 10-Фев-21, 17:58 (130)
- Вы про Герасима , Леголас, 10-Фев-21, 18:50 (138)
Всего 130 тысяч долларов, за такую черную ды ру, вас на , Аноним, 10-Фев-21, 17:49 (123) //
- Чуваки просили передать, что мешок, в котором они уволокли дань, ничуть от этого, пох., 10-Фев-21, 20:34 (150)
Вот зачем девопсы нужны , Аноним, 10-Фев-21, 18:15 (131) //
- Девпсы бесполезные существа , Аноним, 10-Фев-21, 18:44 (137) //
  - Ненавижу девопсов Меня в детстве огромный лохматый девопс покусал за ногу , Рр, 12-Фев-21, 06:15 (188)
Девляпсы опять налетели на проблемы говнорепозитариев Удивительно, правда , Аноним, 10-Фев-21, 19:07 (140) //
- Смузи разработчики не умеют разрабатывать , Аноним, 10-Фев-21, 19:27 (141)
75 от всех зафиксированных запусков кода были связаны с загрузкой NPM- Вот это , srgazh, 11-Фев-21, 00:13 (158)
Молодец человек Увидел возможность, реализовал и очень не плохо на ней заработал, Ilya Indigo, 11-Фев-21, 01:01 (159) //
- А мог бы стать миллионом собирая фермы на ригах, Аноним, 11-Фев-21, 15:49 (176)
Внешние автоматически выкачиваемые зависимости 8212 это всегда риск А вдруг з, Аноним, 11-Фев-21, 02:10 (160) //
- а внешнее НЕ автоматическое выкачивание зависимостей - это как или у вас тоже, JL2001, 11-Фев-21, 02:24 (164)
Вот кто бы сомневался во всех этох npn, ruby-чего-то там Там же будет и всё оста, deeaitch, 11-Фев-21, 04:05 (165)
Надуманная проблема для python --extra-index-url там никто не использует, кроме , Аноним, 11-Фев-21, 05:16 (166)
А как выполнить произвольный код в NuGet-пакете после его загрузки, если ни один, .NET, 11-Фев-21, 14:09 (173)
Другим урок Расслабляться нельзя Всё время надо быть на чеке , Аноним, 12-Фев-21, 14:43 (191)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру