Кто бывает всюду, тот нигде не встречает интереса к своей особе

Программист сдает коллективную работу (конецепция, программа, дизайн). Заказчик удовлтворенно кивает, со всем соглашается. ...

XMPP-клиенту yaxim исполнилось 10 лет
Sat, 24 Aug 2019 14:59:36 +0300

Операционной системе Unix исполнилось 50 лет
Sat, 24 Aug 2019 09:14:53 +0300

Google отказался от применения названий десертов для выпусков Android
Sat, 24 Aug 2019 08:42:29 +0300

IBM, Google, Microsoft и Intel образовали альянс для развития открытых технологий защиты данных
Fri, 23 Aug 2019 13:20:08 +0300

Компания Google представила инициативу Privacy Sandbox
Thu, 22 Aug 2019 23:26:03 +0300

Представлены варианты Qt5 для микроконтроллеров и OS/2
Thu, 22 Aug 2019 12:43:06 +0300

27 августа в Московском Политехе выступит Ричард Столлман
Thu, 22 Aug 2019 01:18:55 +0300

В Firefox, Chrome и Safari заблокирован внедряемый в Казахстане "национальный сертификат"
Wed, 21 Aug 2019 19:13:51 +0300

IBM объявил об открытии архитектуры процессоров Power
Wed, 21 Aug 2019 13:33:19 +0300

Xfce 4.16 ожидается в следующем году
Wed, 21 Aug 2019 09:08:46 +0300

Bitbucket прекращает поддержку Mercurial
Tue, 20 Aug 2019 22:59:58 +0300

Утверждено прекращение формирования репозиториев для архитектуры i686 в Fedora 31
Mon, 19 Aug 2019 23:31:48 +0300

OpenDrop - открытая реализации технологии Apple AirDrop
Mon, 19 Aug 2019 20:54:26 +0300

Представлено ответвление Proton-i, переведённое на более свежие версии Wine
Mon, 19 Aug 2019 09:38:24 +0300

В Chrome планируют полностью убрать поддержку FTP
Fri, 16 Aug 2019 08:38:58 +0300

Новости OPENNET
Новости

В зависимостях к npm-пакету с установщиком PureScript выявлен вредоносный код, проявляющийся при попытке установки пакета purescript. Вредоносный код встроен через зависимости load-from-cwd-or-npm и rate-map. Примечательно, что сопровождением пакетов с данными зависимостями занимается изначальный автор npm-пакета с инсталлятором PureScript, который до недавних пор занимался сопровождением данного npm-пакета, но около месяца назад пакет перешёл к другим сопровождающим.

Проблему обнаружил один из новых мэйтейнеров пакета, которому права на сопровождение были переданы после многих разногласий и неприятных обсуждений с изначальным автором npm-пакета purescript. Новые мэйнтейнеры отвечают за компилятор PureScript и настаивали, что NPM-пакет с его установщиком должен обслуживаться теми же сопровождающими, а не посторонним лицом. Автор npm-пакета с установщиком PureScript долго не соглашался, но затем уступил и передал доступ к репозиторию. При этом некоторые зависимости остались под его управлением.

На прошлой неделе был выпущен релиз компилятора PureScript 0.13.2 и

новыми сопровождающими было подготовлено соответствующее обновление npm-пакета с установщиком, в зависимостях к которому был выявлен вредоносный код. Смещённый с поста сопровождающего автор npm-пакета с установщиком PureScript заявил, что его учётная запись была скомпрометирована неизвестными атакующими. Тем не менее, в текущем виде действия вредоносного кода ограничивались лишь саботажем установки пакета, который стал первой версией от новых сопровождающих. Вредоносные действия сводились к зацикливанию с выводом ошибки при попытке установить пакет командой "npm i -g purescript" без выполнения явной вредоносной активности.

Были выявлены две атаки. Через несколько часов после официального выхода новой версии npm-пакета purescript кем-то была сформирована новая версия зависимости load-from-cwd-or-npm 3.0.2, изменения в которой привели к тому, что вызов loadFromCwdOrNpm() вместо списка необходимых для установки бинарных файлов возвращал поток PassThrough, зеркалирующий входные запросы в качестве выходных значений.

Спустя 4 дня, после того как разработчики разобрались в источнике сбоев и готовились выпустить обновление для исключения load-from-cwd-or-npm из зависимостей, злоумышленниками было выпущено ещё одно обновление load-from-cwd-or-npm 3.0.4, в котором вредоносный код был убран. Тем не менее, почти сразу было выпущено обновление другой зависимости rate-map 1.0.3, в которой было добавлено исправление, блокирующее callback-вызов для загрузки. Т.е. в обоих случаях изменения в новых версиях load-from-cwd-or-npm и rate-map носили характер явной диверсии. Более того, во вредоносном коде имелась проверка, которая активировала сбойные действия только при установке выпуска от новых сопровождающих и никак не проявлялась при установке старых версий.

Разработчики решили проблему выпуском обновления, в котором проблемные зависимости были удалены. Для того чтобы исключить оседание скомпрометированного кода на системах пользователей после попытки установки проблемной версии PureScript рекомендуется удалить содержимое каталогов node_modules и файлов package-lock.json, после чего выставить в качестве нижнего лимита версию purescript 0.13.2.

9.2632 72.6243 0.6153 65.6046

НОВОСТИ: Представлены варианты Qt5 для микроконтроллеров и OS/2 Thu, 22 Aug 2019 12:43:06 +0300

Проект Qt представил редакцию фреймворка для микроконтроллеров и маломощных устройств - Qt for MCUs. Из достоинств проекта отмечается возможность создания графических приложений для микроконтроллеров, используя привычный API и инструменты разработчика, применяемые также для создания полноценных GUI для настольных систем. Интерфейс для микроконтроллеров создаётся с использованием не только C++ API, но и применяя QML c виджетами Qt Quick Controls, переработанными для небольших экранов, обычно применяемых в бытовой электронике, носимых устройствах, промышленном оборудовании и системах умного дома.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome