node-ipcメインテナー、ロシアとベラルーシのホストシステムのファイルを上書きするコードを追加 15
ストーリー by nagazou
追加 部門より
追加 部門より
headless 曰く、
Node.js モジュールの node-ipc で、ホストシステムの IP アドレスがロシアまたはベラルーシであることを検出すると上書き可能なファイルの内容をすべてハートの絵文字に置き換えるコードがメインテナーにより追加され、深刻な脆弱性として CVE にも登録されることになった (The Register の記事、 NVD — CVE-2022-23812、 GitHub のアドバイザリー、 Snyk の脆弱性情報)。
脆弱性のあるバージョンは 10.1.1 および 10.1.2 となっており、GitHub のアドバイザリーではメインテナーにより導入された悪意あるコードに対して脆弱と説明されている。問題のコードはメインテナー自らバージョン 10.1.3 で削除したとのこと。現在のところ安定版ブランチと考えられているのは 9.x であり、この脆弱性の影響を受けた人は少ないとみられる。ベラルーシで活動する米国のNGOが影響を受けたとの報告も上がっているが、GitHub の要望でメッセージは削除されており、真偽も不明だ。
一方、その後リリースされたバージョン 9.2.2 および 11 では peacenotwar と呼ばれるモジュールが追加されており、ユーザーのデスクトップに 5 か国語の停戦呼び掛けを含むテキストファイル WITH-LOVE-FROM-AMERICA.txt を生成する。なお、npm ではバージョン 10.1.1 ~ 10.1.3 および 9.2.2 が削除されている。
color.jsとfaker.jsの件が関連ストーリーにないな (スコア:1)
https://opensource.srad.jp/story/22/01/10/1616204/ [opensource.srad.jp]
何日か前に (スコア:0)
これに該当するPCのデスクトップに西側のニュース記事とかが表示されるようになるとか
結局東西の検閲に対しての抗議という意味合いがあるんだろうかね?
海外セキュリティブログで読んだ気がする
#ソースは忘れたから無いです!
今やると脆弱性扱いだが (スコア:0)
4/1なら気にせずみんなで悪乗りしそうで怖ひ
# いいぞもっとやれ
これがポリコレ社会の極致 (スコア:0)
正義が暴走して、正義のためなら何やってもいいのが現れた。
Re: (スコア:0)
そして正義()の矛先があらゆる方向へと向かうのであった。
Re: (スコア:0)
記事にもありますが、誤爆して迷惑をかけること考えなかったのかな…
Re: (スコア:0)
これで掲げるのが多様性だっていうんだからホント笑えるよなぁ
Re: (スコア:0)
プーチン「せやな」
Re: (スコア:0)
正義のためなら悪になっても構わない。
Re: (スコア:0)
これのどこがポリコレ?
Re: (スコア:0)
一部のNerdは昔からそうだ。
最近もBLMに便乗してサイトのドキュメントを全部差し替えて
リファレンスが読めなくて困るって苦情が来たら切れた件があった。
あれは何だったっけ。
Unity (スコア:0)
空のファイルが作成されるバージョンだったらしいですが、Unity Hubに含まれていたらしく焦りました。
Unity Hub Release Notes [unity3d.com]
Hub 3.1.0 node-ipc incident [unity.com]
nodeの欠陥 (スコア:0)
タイトルは煽りだけど、
leftpadにしてもcolor.js、faker.jsにしても、爆発的に影響が広がってしまうのは、
あまりにも気軽にモジュールを使うことができる、依存することができる、
というnode.jsのモジュールシステムの問題なのかもしれない。性善説を信じすぎというか。
nodeの場合、以下の構成で、module_b(a) と module_b(b) は干渉しないし独立したバージョンにできるので、
module_a の作者は気軽に module_b に依存することができる。
my_app
+--module_a
| +--module_b(a)
+--module_b(b)
Pythonの場合、一つの仮想環境の中で一つのモジュールは一つのバージョンしか存在できない。
なので、アプリ開発者は依存の少ないライブラリを選ぶし、ライブラリ開発者は依存を減らそうと努力する。
nodeでは依存を減らそうというモチベーションが働かない。
グローバルアドレス? (スコア:0)
ロシアでは当たり前なんだろうか?
Nodeの中にNAT変換を検出する仕組みが入ってる??