LINUX.ORG.RU

Что с безопасностью в языкоспецифичных репозиториях (pip, npm, etc)?

 , ,


1

4

pip, npm, gem, nuget, maven, тысячи их. А ещё есть какие-то docker, vagrant, которые тоже норовят что-то там скачать из интернетов.

В инструкции от каждой первой питоновской либы стоит, чтобы установить, сделай pip libname. А в пипе никаких тебе подписей и вроде даже соединение с сервером не шифруется. Выходит это из области вредных советов, как make install?

Что с остальными?


Уверен что никак. Чуть лучше ситуация с браузерными расширениями, но там тоже по большому счёту лажа.

true_admin ★★★★★ ()
Ответ на: комментарий от true_admin

Чуть лучше ситуация с браузерными расширениями, но там тоже по большому счёту лажа.

А чем лучше-то? Там мозила вот только зашевелилась. И все опять остались недовольны.

suuaq ()
Ответ на: комментарий от suuaq

А чем лучше-то?

Тем что там есть автоматизированное тестирование в песочнице. Причём, давно и мозиллы и у гугла. Хотя, я всё равно не доверяю. Периодически защиту обходят.

true_admin ★★★★★ ()

За gem.

Summary of our Ruby Gem research

The RubyGems client has a «Gem Server Discovery» functionality, which uses a DNS SRV request for finding a gem server. This functionality does not require that DNS replies come from the same security domain as the original gem source, allowing arbitrary redirection to attacker controlled gem servers (aka: CVE-2015-3900).

CVE-2015-3900 allows an attacker to redirect a RubyGem client that is using HTTPS to an attacker-controlled gem server. This effectively bypasses HTTPS verification on the original HTTPS gem source allowing an attacker to force the user to install malicious/trojaned gems.

We wrote a fully functional «Gem Trojan-ing» service that demonstrates how an attacker could simply send Trojan Ruby gems transparently over the wire while the user was installing them.

Ruby gem signing is an obvious mitigation strategy for the above mentioned transport security issues. However, gem signing is not common in the Ruby gem ecosystem (not one of the top 10 gems are signed). See our blog post on how to sign gems here.

We demonstrated that even if you are using signed gems, by using CVE-2015-3900, you must be using the HighSecurity trust policy or gems can still be trojaned in transit due to a signing downgrade attack.

After getting CVE-2015-3900 fixed, we identified a bypass allowing attackers to redirect users to domains that end with the original security domain (aka: CVE-2015-4020). For example: attackercontrolledrubygems.org.

These issues affect the RubyGems client and any environment that embeds the RubyGems client. Ruby, JRuby, and Rubinius all embed the RubyGems client and are affected by CVE-2015-3900.

The mechanism for updating to a fixed version of RubyGems also uses the same vulnerable functionality we're trying to secure.

iu0v1 ()

В pip наконец впилили проверку SSL сертификатов. Так что на старом питоне (< 2.7.9) он ругается, что питон старый и не умеет нормально проверять сертификаты.

Vovka-Korovka ★★★★★ ()
Ответ на: комментарий от Vovka-Korovka

Впилили, но теперь чтобы тот же Pillow поставить необходимо ключ --no-check-certificate делать.

Siado ★★★★★ ()

год назад были серьезные проблемы с рубигемом в этом плане, уже не помню что конкретно, но тогда быстро исправили.

kep ()
Ответ на: комментарий от Vovka-Korovka

Меня больше волнует что там за код ставится. Это гораздо большая проблема которая через ssl не решается.

true_admin ★★★★★ ()

AUR в арче тоже может дрянь какую-нить стянуть.

pawnhearts ★★★★★ ()

Безопасности никакой. Любой может наговнокодить и залить это все в репозиторий забесплатно. Отсюда делаем выводы.

l0stparadise ★★★★★ ()
Ответ на: комментарий от Dred

Для чего? Чтобы доверять свои данные коду, который с ними хер знает что сделает?

А если я вообще пишу в интернет смотрящих демонов? Их первый хакир задудосит.

suuaq ()
Ответ на: комментарий от l0stparadise

сендбоксы

Негодно, если оно должно смотреть в интернет. В лучшем случае хакир сможет использовать дыру, чтобы положить демона. В худшем у демона by design будут важные данные, которые хакир утащит.

Печаль.

suuaq ()
Ответ на: комментарий от suuaq

Чтобы доверять свои данные коду, который с ними хер знает что сделает?

эмм, а что, читать содержимое библиотек перед их использованием нынче не модно ?

Dred ★★★★★ ()

Кстати, меня вся эта установка в homepage бинарников всяких немного смущает - ведь это

1) Не Unix-way

2) Нарушается FHS

3) Не секурно

int13h ★★★★★ ()
Ответ на: комментарий от Dred

эмм, а что, читать содержимое библиотек перед их использованием нынче не модно ?

Как же я сам не додумался? Просто надо при каждом обновлении перечитывать мегабайты кода на наличие неизвестных закладок. Спасибо тебе чел, осталось только в сутках 25 часов объявить.

suuaq ()

Ладно безопасность, лицензии хоть проверяются?

anonymous ()
Ответ на: комментарий от true_admin

Чуть лучше ситуация с браузерными расширениями

это те расширения которые открытым текстом как mozscrit.js качаются с сайтиков?
тут говорят о подмене на лету,и что проще подмены открытого текста?
и да множество провайдеров так и делают-впаривая тебе в твой файрфокс/андроид/винфон/ие при первой установке любого плагина-еще и свое дополнение...это публичные вайфай сети,почти все мобильные провайдеры,множество местных мелких провайдеров...

безопасность так и прет

sup9999 ()
Ответ на: комментарий от l0stparadise

Безопасности никакой. Любой может наговнокодить и залить это все в репозиторий забесплатно. Отсюда делаем выводы.

я могу нагавнокодить и залить в локальный репозитарий,и О БОЖЕ-дать ссылку на свой реп на своем локальном сайте который смотрит через белый ИП в сеть...о боже чтоже делать любой ведь может завести свой сайт и фигню творить-надо анально запретить!

даже больше-тебе повар в столовке нальет г-на в суп,и все тут-любой ведь так может сделать,ОТСЮДА ДЕЛАЕМ ВЫВОДЫ

очень интересно какие такие ВЫВОДЫ

...какойже бред вы пишите который просто абсурден сам по себе

sup9999 ()
Ответ на: комментарий от suuaq

Как же я сам не додумался? Просто надо при каждом обновлении перечитывать мегабайты кода на наличие неизвестных закладок. Спасибо тебе чел, осталось только в сутках 25 часов объявить.

беру софт,пользуюсь,приходит обновление-слепо ставлю,пользуюсь,раз в месяц поглядываю в процессы и расход трафика/структуру трафика-внезапно нашел какойто бред,начал копать гуглить-оказывается софт липовый-перестаю пользоваться софтом

и знаешь что я потерял за этот весь процесс-НИЧЕГО

и да давайте без абсурда-что теоретически в ядро завтра встроят троян ломающий процессор...ага

sup9999 ()
Ответ на: комментарий от sup9999

Новорег, ты вообще знаешь, что такое npm, pip, gem, pear, и как туда добавлять свои пакеты?

Так вот, открою секрет - это репозитории, которые продвигают сами разработчики соответствующих языков/фреймворков, и они имеют намного больше веса, чем твой унылый локалхост. И от публичных репозиториев хочется какой-никакой безопасности. Которой нет, поскольку в них проходной двор без регистрации и смс.

l0stparadise ★★★★★ ()
Ответ на: комментарий от l0stparadise

новорег-найс овнишь братишка

я отлетал в бан еще от самого макскома,когда ты в садик ходил

ты ничего кроме банального и очевидного сказать то не можешь,ребенок

sup9999 ()
Ответ на: комментарий от sup9999

это те расширения которые открытым текстом как mozscrit.js качаются с сайтиков?

Кто качает расширения откуда попало ССЗБ.

true_admin ★★★★★ ()

Всё в порядке

Если безопасность твоих данных зависит от доброй воли автора кода, у тебя её нет. Либо не обрабатывай «ценные» данные(точнее - чужим кодом, что почти ничего не меняет), либо делай это в окружении, в котором не навредить, даже если сильно хочется.

DonkeyHot ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.