Уязвимости в Node.js и libuv, vvm13, 00:08 , 17-Фев-24 (24) –4 [V]

Уязвимости в Node.js и libuv, Аноним, 01:06 , 17-Фев-24 (25) +5
Уязвимости в Node.js и libuv, мяя, 01:39 , 17-Фев-24 (26) +4

Уязвимости в Node.js и libuv, Аноним, 02:07 , 17-Фев-24 (27) –2

Уязвимости в Node.js и libuv, мяя, 21:45 , 18-Фев-24 (58)

Уязвимости в Node.js и libuv, Golangdev, 05:19 , 17-Фев-24 (33) +4
Уязвимости в Node.js и libuv, Golangdev, 05:23 , 17-Фев-24 (34)
Уязвимости в Node.js и libuv, Бывалый Смузихлёб, 13:04 , 17-Фев-24 (41) +1

Уязвимости в Node.js и libuv, Пряник, 17:09 , 19-Фев-24 (59)

Уязвимости в Node.js и libuv, Вы забыли заполнить поле Name, 03:38 , 17-Фев-24 (28) –2
Уязвимости в Node.js и libuv, Роман, 05:07 , 17-Фев-24 (32)
кто специалист, откуда у nodejs elevated privileges возьмутся? обычный процесс под обычным юзером
> On Linux, Node.js ignores certain environment variables if those may have been set by an unprivileged user while the process is running with elevated privileges with the only exception of CAP_NET_BIND_SERVICE. Due to a bug in the implementation of this exception, Node.js incorrectly applies this exception even when certain other capabilities have been set. This allows unprivileged users to inject code that inherits the process's elevated privileges.
Ответить | Сообщить модератору

Уязвимости в Node.js и libuv, Аноним, 13:01 , 17-Фев-24 (38)
Уязвимости в Node.js и libuv, похъ, 13:28 , 17-Фев-24 (43) –1

Уязвимости в Node.js и libuv, Роман, 06:37 , 18-Фев-24 (47)
нода в 99% случаев (я видел что на ноде пишут, скажем так, скрипты общего назначения, а не веб сервисы) сидит в докере с его port mappings, либо работает как вебсервис [без нужды в биндингах на порты ниже 1024] за прокси, еще и желательно с набором плюшек вида
SystemCallFilter=@system-service
SystemCallErrorNumber=EPERM
LockPersonality=yes
NoNewPrivileges=yes
PrivateTmp=yes
ProtectProc=invisible

и т.д. сверху. Добавляются еще ReadOnlyPaths, ReadWritePaths по вкусу.
Ответить | Сообщить модератору

Уязвимости в Node.js и libuv, похъ, 09:14 , 18-Фев-24 (50)

Уязвимости в Node.js и libuv, Роман, 10:19 , 18-Фев-24 (52)
>> нода в 99% случаев (я видел что на ноде пишут, скажем так,
> нет, это твой личный способ костылепердолинга.
Сбавьте тон и тыканье, выглядит так себе.
> В большинстве случаев совершенно ненужный и вредный (потому что вы не умеете
> в swarm и в результате в докере у вас мини-операционная система,
> с костыльными заменами планировщику и иниту, которая чаще всего даже правильно
> останавливаться по docker stop не обучена)
Вы тут что-то проецируете, рзверните мысль внятно.
> И внезапно даже вебсервисам нужны фоновые процессы по крону или еще каким
> способом, и чаще всего никто не потрудится специально для тебя писать
> их на другом нескучном языке когда уже есть проект на ноде.
Скрипты общего назначения, тут вы уловили верно, кроме момента про "ради меня".
>> и т.д. сверху. Добавляются еще ReadOnlyPaths, ReadWritePaths по вкусу.
> причем тут твоя любовь к пердолингу я не пойму?
> И что бы тебе и bin/ls не запускать так же, от него
> вреда может внезапно оказаться куда больше.
Не уверен что вы сейчас все ещё про запуск сервисов, а не о чем то своём.
Ответить | Сообщить модератору

Уязвимости в Node.js и libuv, iZEN, 08:52 , 17-Фев-24 (35) –1

Уязвимости в Node.js и libuv, похъ, 13:01 , 17-Фев-24 (39)
Уязвимости в Node.js и libuv, Бывалый Смузихлёб, 13:22 , 17-Фев-24 (42)

Уязвимости в Node.js и libuv, iZEN, 13:38 , 17-Фев-24 (44)

Уязвимости в Node.js и libuv, похъ, 14:37 , 17-Фев-24 (45)

Уязвимости в Node.js и libuv, iZEN, 13:14 , 18-Фев-24 (54)

Уязвимости в Node.js и libuv, похъ, 17:45 , 18-Фев-24 (56) +1

Уязвимости в Node.js и libuv, iZEN, 20:35 , 18-Фев-24 (57)

Уязвимости в Node.js и libuv, похъ, 17:30 , 19-Фев-24 (62)

Уязвимости в Node.js и libuv, iZEN, 14:54 , 20-Фев-24 (63)

Уязвимости в Node.js и libuv, Пряник, 17:11 , 19-Фев-24 (60)

Уязвимости в Node.js и libuv, Роман, 06:43 , 18-Фев-24 (48) +1
> Устанавливать ноду чтобы удалять ноду
> Похоже, у любителей бздей есть какая-то очень специфическая наклонность
полагаю поэтому они и выбирают FreeBSD, совпадает с их наклонностью или даже наклонностями - это нормально, на мой взгляд.
Из интересных наблюдений, товарищи из пользователей (и админов уж конечно) Фряхи, не понимают концепцию LTS.
Один из немногих - Drew Gallatin, https://papers.freebsd.org/author/drew-gallatin/ - FreeBSD kernel hacker. Senior Software Engineer at Netflix Open Connect, focusing on performance - этот понял.
> One the things I loved about Ubuntu LTS is the packages being essentially frozen, aside from security fixes. FreeBSD is a "rolling release" OS for 3rd party packages, even on stable branches. That's one of the reasons that I use the ubuntu LTS firefox ... I can apt-get update & apt-get upgrade just the web browser and its dependencies, rather than the 1700 unrelated packages that I'd need to update just to get the newest firefox.
from https://news.ycombinator.com/item?id=38221063
Остальные прекрасно себя чувствуют админя локалхост в дополнению к работе:
> Не знаю как в генте, но у меня на FreeBSD это очень удобно сделано. Я просто запускаю таску POST запросом в Jenkins и через пару дней у меня будет свежый локальный репозиторий с нужнымы флагами. Процесс сам идёт, обычно даже не валится.
Ответить | Сообщить модератору

Уязвимости в Node.js и libuv, похъ, 08:50 , 18-Фев-24 (49)

Уязвимости в Node.js и libuv, Роман, 10:09 , 18-Фев-24 (51)
> ну да, ну да - разделение на STABLE/CURRENT/RELENG - это ведь не
> за двадцать лет до ваших lts придумали?
> Ну да, это касается только базовой системы. Потому что у проекта НЕТ
> столько и настолько безумных волонтеров чтобы годами вручную выковыривать патчи поштучно
> и мержить их (что не всегда легко) с устаревшим кодом.
> Им-то убунтоиды не заплатят.
Грусть в том что так и клиенты не заплатят, вроде не бездельники и могли бы жить.
>[оверквотинг удален]
> И что как и в его любимой бубунточке он может вообще просто
> pkg install fuflofox без всякого компиляния - и нет, оно не
> обновит автоматически ничего кроме необходимого для запуска минимума (и иногда промажет
> и не обновит и необходимое тоже).
> Но если оно просто не собирается в принципе без наимоднявейших зависимостей -
> претензии авторам фуфлофокса не умеющим в совместимость.
> Кстати, убунточка решает эту проблему шнапом. И в дальнейшем собирается ее так
> решать с любым софтом сложнее cat
>> Остальные прекрасно себя чувствуют админя локалхост в дополнению к работе:
> вместо. Не думаю что у них есть работа.
Вполне есть:
> fwiw I have a LinkedIn job alert set for any job with "FreeBSD". It produces on average 5 positions a week in the US
Или вот https://it-notes.dragas.net/2023/03/14/how-we-are-migrating-.../
Ответить | Сообщить модератору

Уязвимости в Node.js и libuv, похъ, 13:22 , 18-Фев-24 (55)

Уязвимости в Node.js и libuv, Роман, 14:13 , 23-Фев-24 (64)
> то есть на ВСЕ US у него аж пять упоминаний
Да, в районе раздела Фряхи на Реддите, в том срезе сообщества, при таких вводных - работа считается что есть.
Лично для меня - очень интересно читать там местами.
----
Отдельно, конечно, стоит упомянуть про отчёт за 3ий квартал от Фряхи - https://www.freebsd.org/status/report-2023-10-2023-12/ . Анонимным и не очень анонимным Экспертам стоит подготовиться и присесть:
> The Open Container Initiative Technical Oversight Board voted in December to approve Doug Rabson’s proposal to create a Working Group to extend the OCI runtime specification to support FreeBSD. Huge thanks to all involved! An OCI runtime extension for FreeBSD is one of the most frequently requested capabilities and I was happy to play a small role in helping to coordinate this effort so far.
и всадник апокалипсиса:
> !WARNING] The FreeBSD port of the Podman container engine is experimental and should be used for evaluation and testing purposes only.
Уверенным пользователям возможно стоит начинать подавать петиции.
https://podman.io/docs/installation#installing-on-freebsd-140
Ответить | Сообщить модератору

Уязвимости в Node.js и libuv, Tron is Whistling, 10:38 , 18-Фев-24 (53)
Уязвимости в Node.js и libuv, Пряник, 17:14 , 19-Фев-24 (61) –1