V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
RE
V2EX  ›  问与答

[转] Node.js 爆出漏洞:反序列化远程代码执行

  •  1
     
  •   RE · 2017-02-15 17:59:53 +08:00 · 2984 次点击
    这是一个创建于 2842 天前的主题,其中的信息可能已经有所发展或是发生改变。
    俺不玩 node.js ,就是看到了转一下: http://mp.weixin.qq.com/s/Yz74sJN5W-k8YV0EIYHa9g
    10 条回复    2017-02-16 13:22:48 +08:00
    SuperMild
        1
    SuperMild  
       2017-02-15 18:08:52 +08:00
    国家信息安全漏洞共享平台( CNVD )?
    那么,乌云的罪名……
    AJian
        2
    AJian  
       2017-02-15 18:40:17 +08:00
    xiaoxiuaoliang
        3
    xiaoxiuaoliang  
       2017-02-15 18:52:34 +08:00
    这篇文章说法太不严谨了 受影响的服务器数量应该是使用了 Node.js 反序列化模块 node-serialize 的数量
    WildCat
        4
    WildCat  
       2017-02-15 18:54:21 +08:00
    RE
        5
    RE  
    OP
       2017-02-15 18:57:28 +08:00
    @AJian @xiaoxiuaoliang 不好意思,我自己没玩 node.js 只是正好看到这篇文章,搜了一下 V2 没人发,转过来希望对玩 node.js 的人有帮助,算是提醒一下吧,也不知道到底影响大不大
    airyland
        6
    airyland  
       2017-02-15 19:03:32 +08:00 via iPhone
    太标题党了
    DoraJDJ
        7
    DoraJDJ  
       2017-02-15 19:15:07 +08:00
    同以为是 Node.js 爆漏洞,结果是某个库的问题
    zbinlin
        8
    zbinlin  
       2017-02-15 20:16:58 +08:00
    @luin 好像也在 v2ex.com
    luin
        9
    luin  
       2017-02-16 10:08:33 +08:00
    说实话,我写的这个库只有 20 个 star ,下载量也很小,更不要说和 Node.js 本身有什么关系了。所以这事实在是太标题党了。

    我在知乎写了详细的回复: https://www.zhihu.com/question/55860542/answer/146613147

    总结就是自己写了几十个 Node 模块,没想到其中最冷门的抢先搞了个大新闻。
    jiangzhuo
        10
    jiangzhuo  
       2017-02-16 13:22:48 +08:00
    我们年会抽奖的程序也是用的这种方式,不过当时没注意到这个库,要不可以做的更隐蔽一些
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   992 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 21:20 · PVG 05:20 · LAX 13:20 · JFK 16:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.