[转] Node.js 爆出漏洞：反序列化远程代码执行

2017-02-15 17:59:53 +08:00

俺不玩 node.js ，就是看到了转一下： http://mp.weixin.qq.com/s/Yz74sJN5W-k8YV0EIYHa9g

2831 次点击

所在节点

问与答

10 条回复

SuperMild

2017-02-15 18:08:52 +08:00

国家信息安全漏洞共享平台（ CNVD ）？
那么，乌云的罪名……

AJian

2017-02-15 18:40:17 +08:00

只能说这是写那个库[https://github.com/luin/serialize]( https://github.com/luin/serialize)的人的代码问题！

xiaoxiuaoliang

2017-02-15 18:52:34 +08:00

这篇文章说法太不严谨了受影响的服务器数量应该是使用了 Node.js 反序列化模块 node-serialize 的数量

WildCat

2017-02-15 18:54:21 +08:00

@luin
@AJian

2017-02-15 18:57:28 +08:00

@AJian @xiaoxiuaoliang 不好意思，我自己没玩 node.js 只是正好看到这篇文章，搜了一下 V2 没人发，转过来希望对玩 node.js 的人有帮助，算是提醒一下吧，也不知道到底影响大不大

airyland

2017-02-15 19:03:32 +08:00

太标题党了

DoraJDJ

2017-02-15 19:15:07 +08:00

同以为是 Node.js 爆漏洞，结果是某个库的问题

zbinlin

2017-02-15 20:16:58 +08:00

@luin 好像也在 v2ex.com

luin

2017-02-16 10:08:33 +08:00

说实话，我写的这个库只有 20 个 star ，下载量也很小，更不要说和 Node.js 本身有什么关系了。所以这事实在是太标题党了。

我在知乎写了详细的回复： https://www.zhihu.com/question/55860542/answer/146613147

总结就是自己写了几十个 Node 模块，没想到其中最冷门的抢先搞了个大新闻。

jiangzhuo

2017-02-16 13:22:48 +08:00

我们年会抽奖的程序也是用的这种方式，不过当时没注意到这个库，要不可以做的更隐蔽一些

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/340705

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.