[转] Node.js 爆出漏洞:反序列化远程代码执行

2017-02-15 17:59:53 +08:00
 RE
俺不玩 node.js ,就是看到了转一下: http://mp.weixin.qq.com/s/Yz74sJN5W-k8YV0EIYHa9g
2981 次点击
所在节点    问与答
10 条回复
SuperMild
2017-02-15 18:08:52 +08:00
国家信息安全漏洞共享平台( CNVD )?
那么,乌云的罪名……
AJian
2017-02-15 18:40:17 +08:00
xiaoxiuaoliang
2017-02-15 18:52:34 +08:00
这篇文章说法太不严谨了 受影响的服务器数量应该是使用了 Node.js 反序列化模块 node-serialize 的数量
WildCat
2017-02-15 18:54:21 +08:00
RE
2017-02-15 18:57:28 +08:00
@AJian @xiaoxiuaoliang 不好意思,我自己没玩 node.js 只是正好看到这篇文章,搜了一下 V2 没人发,转过来希望对玩 node.js 的人有帮助,算是提醒一下吧,也不知道到底影响大不大
airyland
2017-02-15 19:03:32 +08:00
太标题党了
DoraJDJ
2017-02-15 19:15:07 +08:00
同以为是 Node.js 爆漏洞,结果是某个库的问题
zbinlin
2017-02-15 20:16:58 +08:00
@luin 好像也在 v2ex.com
luin
2017-02-16 10:08:33 +08:00
说实话,我写的这个库只有 20 个 star ,下载量也很小,更不要说和 Node.js 本身有什么关系了。所以这事实在是太标题党了。

我在知乎写了详细的回复: https://www.zhihu.com/question/55860542/answer/146613147

总结就是自己写了几十个 Node 模块,没想到其中最冷门的抢先搞了个大新闻。
jiangzhuo
2017-02-16 13:22:48 +08:00
我们年会抽奖的程序也是用的这种方式,不过当时没注意到这个库,要不可以做的更隐蔽一些

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/340705

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX