¿Es Node.js en Debian Jessie realmente inseguro?

Navega tus respuestas
0

Mientras leía las notas de la versión para Debian Jessie, encontré estos párrafos:

  

La plataforma Node.js está construida sobre libv8-3.14, que experimenta   Un gran volumen de problemas de seguridad, pero actualmente no hay   voluntarios dentro del proyecto o el equipo de seguridad suficientemente   interesado y dispuesto a pasar la gran cantidad de tiempo requerido para   Detener esos problemas entrantes.

     

Desafortunadamente, esto significa que libv8-3.14, nodejs y los asociados   nodo- * paquete ecosistema no debe ser utilizado actualmente con no fiable   contenido, como datos no saneados de Internet.

     

Además, estos paquetes no recibirán ninguna actualización de seguridad.   durante la vida del lanzamiento de Jessie.

Lo leí como "no ejecute una aplicación Node.js orientada a la web en este sistema operativo", ¿pero es realmente tan malo? Me parece sorprendente que algo tan popular como Node.js sea advertido básicamente por la falta de mantenedores de libv8.

¿

Debian recomienda que evite ejecutar cualquier servicio Node.js orientado a la web en Debian Jessie, o solo se aplica a algunos tipos de servicios más riesgosos?

    
pregunta Jez 21.08.2016 - 10:48
fuente

1 respuesta

2

Esto se debe a que una versión estable de Debian debe atenerse a la versión característica del momento en que se vuelve estable.

El equipo de Debian lo indica claramente en su P & A :

  

2.2 ¿Hay actualizaciones de paquetes en 'estable'?

     

No se agrega ninguna funcionalidad nueva a la versión estable. Una vez que se lanza una versión de Debian y se la etiqueta como "estable", solo se obtendrán actualizaciones de seguridad. Es decir, solo los paquetes para los cuales se ha encontrado una vulnerabilidad de seguridad después de la versión se actualizarán. Todas las actualizaciones de seguridad se sirven a través de security.debian.org.

Para mantener la estabilidad funcional, realizan copias de seguridad de la solución de seguridad por su cuenta según sea necesario.

  

Las actualizaciones de seguridad tienen un propósito: proporcionar una solución para una vulnerabilidad de seguridad. No son un método para introducir cambios adicionales en la versión estable sin pasar por el procedimiento normal de liberación puntual. En consecuencia, las correcciones para paquetes con problemas de seguridad no actualizarán el software. El equipo de seguridad de Debian realizará una copia de seguridad de las correcciones necesarias a la versión del software distribuido en "estable".

Por otro lado, v8 es conocido por su rápido ciclo de lanzamiento. wiki V8 en GitHub dice

  

Aproximadamente cada 6 semanas se realiza una nueva versión importante de Stable.

También dice

  

Tan pronto como una nueva rama se promocione a Estable, dejamos de mantener la rama estable anterior. Esto sucede cada seis semanas, por lo que debe estar preparado para actualizar al menos esto con frecuencia.

Debido a que Jessie se lanzó en abril de 2015, tuvimos una docena de v8 estable que se lanzó. En general, a medida que pasa el tiempo y se lanza una versión v8 estable del servidor, cada vez es más difícil para el equipo de Debian arreglar su paquete. Aparentemente, les faltan voluntarios para hacer backport.

Podría usarlo bajo su riesgo, pero está explícitamente orientado a no hacerlo.

    
respondido por el lefb766 21.08.2016 - 11:54
fuente

Lea otras preguntas en las etiquetas

Analizando una Explotación de MetaSploit, no puedo entender por qué una función no se está ejecutando Con OpenID, ¿debería actualizar / volver a autenticar?