Новость:
Атака на NPM, позволяющая определить наличие пакетов в приватных репозиториях
Дата:
2022-10-15
В NPM выявлена недоработка, позволяющая определить существование пакетов в закрытых репозиториях. Проблема вызвана разным временем реакции при запросе существующего и несуществующего пакета сторонним пользователем, не имеющего доступа к репозиторию. При отсутствии доступа для любых пакетов в приватных репозиториях сервер registry.npmjs.org возвращает ошибку с кодом "404", но в случае существования пакета с запрошенным именем ошибка выдаётся с ощутимой задержкой. Атакующий может использовать данную особенность для определения наличия пакета при подборе имён пакетов по словарям.
Последние новости:
- Сторонняя организация пытается зарегистрировать торговую марку PostgreSQL в Европе и США 2021-09-14
- Осеннее обновление стартовых наборов ALT p10 2021-09-14
- Новая техника эксплуатации уязвимостей класса Spectre в Chrome 2021-09-14
- Выпуск многопользовательской RPG-игры Veloren 0.11 2021-09-14
- BitTorrent-клиент Transmission переходит с Си на Си++ 2021-09-14