forum.opennet.ru

"Обход верификации в библиотеке xml-crypto, насчитывающей миллион загрузок в неделю"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

"Обход верификации в библиотеке xml-crypto, насчитывающей миллион загрузок в неделю"	+/–
Сообщение от opennews (?), 03-Май-24, 23:22
В JavaScript-библиотеке xml-crypto, используемой в качестве зависимости у 402 проектов и загружаемой из каталога NPM около миллиона раз каждую неделю, выявлена уязвимость (CVE-2024-32962), которой присвоен максимальный уровень опасности (10 из 10). Библиотека предоставляет функции для шифрования и верификации по цифровой подписи XML-документов. Уязвимость даёт возможность атакующему заверить фиктивный документ, который в конфигурации по умолчанию будет успешно верифицирован библиотекой, несмотря на то, что он подписан не тем ключом, что указан для проверки подписей. Проблема проявляется начина с версии xml-crypto 4.0.0 и без лишней огласки устранена в январском выпуске 6.0.0... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61112
Ответить \| Правка \| Cообщить модератору

Оглавление

Обход верификации в библиотеке xml-crypto, насчитывающей миллион загрузок в неделю, opennews, 03-Май-24, 23:22 [смотреть все]

ай хорошо, молодцы малпы, показательно, penetrator, 03-Май-24, 23:22 (1)
Миллион дыр в неделю, только вдумайтесь, Герострат, 03-Май-24, 23:25 (2) //
- нет, миллион коммитов в корявых CI, которые выкачивают каждый раз эту нишевую ли, кент кента, 04-Май-24, 21:23 (21)
Плюсовики не отстают https github com PowerDNS pdns issues 12234Тихонько прикр, Аноним, 03-Май-24, 23:49 (3)
Все ругали это в C и C , но видимо скоро вернемся к тому от чего ушли - к подкл, Аноним, 04-Май-24, 00:47 (6) //
- Простите, и как бы это помогло от уязвимости в описываемом случае Скорее наоборо, Аноним, 04-Май-24, 01:41 (8)
- А она и не решаема Неужели ли непонятно, что каждая зависимость это даже не то , Прадед, 04-Май-24, 02:50 (12)
Судя по коммиту, там даже и не сразу поняли, что это уязвимость Коммит отправл, анонка, 04-Май-24, 01:46 (9)
Лишь бы gpg ssh не использовать , Аноним, 04-Май-24, 02:34 (11)
Багофича для выявления тех, кто код не тестирует и тех, кто тестирует толь, vitalif, 04-Май-24, 09:51 (15) //
- Если код компилируется значит работает tm , Аноним, 04-Май-24, 10:29 (17)
Т е по мнению сообщество xz это злонамеренный троян А тут просто чудовищная ош, Аноним, 04-Май-24, 10:31 (18) //
- Сравнение с xz было б более уместно, если здесь тоже был удаленный доступ к сист, Аноним, 04-Май-24, 11:22 (20)
Хорошо, хоть только сейчас огласили, выждали время А разработчики, проектные мен, Lui Kang, 04-Май-24, 10:52 (19)
Пишите заголовки правильно - не в библиотеке xml-crypto , а в javascript-библи, YetAnotherOnanym, 05-Май-24, 15:11 (22)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру