forum.opennet.ru

Составление сообщения

Исходное сообщение

"GitHub заблокировал SSH-ключи, сгенерированные при помощи би..."
Отправлено RM, 13-Окт-21 15:20

Если почитать описание на https://nvd.nist.gov/vuln/detail/CVE-2021-41117 то сразу видно, что скриптовые языки не тянут
However, in a nodeJS execution environment, the `window` object is not defined, so it goes down a much less secure solution, also of which has a bug in it. It does look like the library tries to use node's CSPRNG when possible unfortunately, it looks like the `crypto` object is null because a variable was declared with the same name, and set to `null`. So the node CSPRNG path is never taken.
Это раз
А два, The double `String.fromCharCode` is almost certainly unintentional and the source of weak seeding
Проблема то не в том что функцию два раза вызвали, а в том, что string засунули на вход параметру byte и скриптовый езык радостно это скушал.
/**
* Puts a byte in this buffer.
*
* @param b the byte to put.
*/
util.ByteBuffer.prototype.putByte = function(b) {
this.data += String.fromCharCode(b);
};

Исходное сообщение
"GitHub заблокировал SSH-ключи, сгенерированные при помощи би..." Отправлено RM, 13-Окт-21 15:20
Если почитать описание на https://nvd.nist.gov/vuln/detail/CVE-2021-41117 то сразу видно, что скриптовые языки не тянут However, in a nodeJS execution environment, the `window` object is not defined, so it goes down a much less secure solution, also of which has a bug in it. It does look like the library tries to use node's CSPRNG when possible unfortunately, it looks like the `crypto` object is null because a variable was declared with the same name, and set to `null`. So the node CSPRNG path is never taken. Это раз А два, The double `String.fromCharCode` is almost certainly unintentional and the source of weak seeding Проблема то не в том что функцию два раза вызвали, а в том, что string засунули на вход параметру byte и скриптовый езык радостно это скушал. /** * Puts a byte in this buffer. * * @param b the byte to put. */ util.ByteBuffer.prototype.putByte = function(b) { this.data += String.fromCharCode(b); };

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Если почитать описание на https://nvd.nist.gov/vuln/detail/CVE-2021-41117 то сразу > видно, что скриптовые языки не тянут > However, in a nodeJS execution environment, the `window` object is not defined, > so it goes down a much less secure solution, also of > which has a bug in it. It does look like the > library tries to use node's CSPRNG when possible unfortunately, it looks > like [b]the `crypto` object is null because a variable was declared > with the same name[/b], and set to `null`. So the node > CSPRNG path is never taken. > Это раз > А два, The double `String.fromCharCode` is almost certainly unintentional and the source > of weak seeding > Проблема то не в том что функцию два раза вызвали, а в > том, что string засунули на вход параметру byte и скриптовый езык > радостно это скушал. > /** > * Puts a byte in this buffer. > * > * @param b the byte to put. > */ > util.ByteBuffer.prototype.putByte = function(b) { > this.data += String.fromCharCode(b); > };
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру