Hlavní navigace

Názor ke zprávičce Závažná zranitelnost typu podvržení repozitáře v systému WordPress od Uncaught ReferenceError: - tenhle pattern ale není problém pouze Wordpressu, jedná...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 10. 12. 2021 9:16

    Uncaught ReferenceError:

    tenhle pattern ale není problém pouze Wordpressu, jedná se o vektor útoku, který se používá a dá použít kdekoliv, kde mám veřejnou repository a zároveň mám vlastní privátní balíčky.

    Sejný problém se řeší s DNS (aneb teď vzniklé nové top domény se zapnutým dnssec udělaly problém nejedné společnosti). Historicky si tím prošli či procházejí všechny repositářové služby, které nepoužívají namespace, který je možné předregistrovat či dopředu zablokovat. Npm nebo pip jsou v mém okolí nejvíce problémové a npm to nemá plně vyřešené doteď.

    Vtipný je také docker, sice má namespace, ale jeho práce s url, názvy image a repositářů je dost magická, že bych klidně vsadil něčí celožitovní úspory, že tam podobná chyba ještě bude schovaná a budou existovat konstelace, kde jí půjde zneužít.