パスワードを忘れた? アカウント作成
15603726 story
セキュリティ

node-ipcメインテナー、ロシアとベラルーシのホストシステムのファイルを上書きするコードを追加 15

ストーリー by nagazou
追加 部門より
headless 曰く、

Node.js モジュールの node-ipc で、ホストシステムの IP アドレスがロシアまたはベラルーシであることを検出すると上書き可能なファイルの内容をすべてハートの絵文字に置き換えるコードがメインテナーにより追加され、深刻な脆弱性として CVE にも登録されることになった (The Register の記事NVD — CVE-2022-23812GitHub のアドバイザリーSnyk の脆弱性情報)。

脆弱性のあるバージョンは 10.1.1 および 10.1.2 となっており、GitHub のアドバイザリーではメインテナーにより導入された悪意あるコードに対して脆弱と説明されている。問題のコードはメインテナー自らバージョン 10.1.3 で削除したとのこと。現在のところ安定版ブランチと考えられているのは 9.x であり、この脆弱性の影響を受けた人は少ないとみられる。ベラルーシで活動する米国のNGOが影響を受けたとの報告も上がっているが、GitHub の要望でメッセージは削除されており、真偽も不明だ。

一方、その後リリースされたバージョン 9.2.2 および 11 では peacenotwar と呼ばれるモジュールが追加されており、ユーザーのデスクトップに 5 か国語の停戦呼び掛けを含むテキストファイル WITH-LOVE-FROM-AMERICA.txt を生成する。なお、npm ではバージョン 10.1.1 ~ 10.1.3 および 9.2.2 が削除されている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年03月22日 12時35分 (#4219360)

    これに該当するPCのデスクトップに西側のニュース記事とかが表示されるようになるとか
    結局東西の検閲に対しての抗議という意味合いがあるんだろうかね?

    海外セキュリティブログで読んだ気がする

    #ソースは忘れたから無いです!

  • by Anonymous Coward on 2022年03月22日 12時45分 (#4219373)

    4/1なら気にせずみんなで悪乗りしそうで怖ひ

    # いいぞもっとやれ

  • by Anonymous Coward on 2022年03月22日 15時52分 (#4219516)

    正義が暴走して、正義のためなら何やってもいいのが現れた。

    • by Anonymous Coward

      そして正義()の矛先があらゆる方向へと向かうのであった。

    • by Anonymous Coward

      記事にもありますが、誤爆して迷惑をかけること考えなかったのかな…

    • by Anonymous Coward

      これで掲げるのが多様性だっていうんだからホント笑えるよなぁ

    • by Anonymous Coward

      プーチン「せやな」

    • by Anonymous Coward

      正義のためなら悪になっても構わない。

    • by Anonymous Coward

      これのどこがポリコレ?

    • by Anonymous Coward

      一部のNerdは昔からそうだ。
      最近もBLMに便乗してサイトのドキュメントを全部差し替えて
      リファレンスが読めなくて困るって苦情が来たら切れた件があった。
      あれは何だったっけ。

  • by Anonymous Coward on 2022年03月22日 21時35分 (#4219744)

    空のファイルが作成されるバージョンだったらしいですが、Unity Hubに含まれていたらしく焦りました。
    Unity Hub Release Notes [unity3d.com]
    Hub 3.1.0 node-ipc incident [unity.com]

  • by Anonymous Coward on 2022年03月23日 0時48分 (#4219814)

    タイトルは煽りだけど、
    leftpadにしてもcolor.js、faker.jsにしても、爆発的に影響が広がってしまうのは、
    あまりにも気軽にモジュールを使うことができる、依存することができる、
    というnode.jsのモジュールシステムの問題なのかもしれない。性善説を信じすぎというか。

    nodeの場合、以下の構成で、module_b(a) と module_b(b) は干渉しないし独立したバージョンにできるので、
    module_a の作者は気軽に module_b に依存することができる。

    my_app
        +--module_a
        | +--module_b(a)
        +--module_b(b)

    Pythonの場合、一つの仮想環境の中で一つのモジュールは一つのバージョンしか存在できない。
    なので、アプリ開発者は依存の少ないライブラリを選ぶし、ライブラリ開発者は依存を減らそうと努力する。

    nodeでは依存を減らそうというモチベーションが働かない。

  • by Anonymous Coward on 2022年03月23日 5時23分 (#4219856)

    ロシアでは当たり前なんだろうか?
    Nodeの中にNAT変換を検出する仕組みが入ってる??

typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...