Tá leochaileacht (CVE-3-2021) ag an bpacáiste pac-resolver NPM, a bhfuil os cionn 23406 mhilliún íoslódálacha aige in aghaidh na seachtaine, a cheadaíonn a chód JavaScript a fhorghníomhú i gcomhthéacs an iarratais nuair a bhíonn iarratais HTTP á sheoladh ó thionscadail Node.js go tacú le feidhm uathchumraíochta seachfhreastalaí.
Déanann an pacáiste pac-resolver comhaid PAC a pharsáil a chuimsíonn script cumraíochta seachfhreastalaí uathoibríoch. Tá cód rialta JavaScript sa chomhad PAC le feidhm FindProxyForURL a shainíonn an loighic chun seachfhreastalaí a roghnú ag brath ar an óstaigh agus ar an URL iarrtha. Is é croílár na leochaileachta ná chun an cód JavaScript seo a fhorghníomhú i pac-resolver, baineadh úsáid as an API VM a cuireadh ar fáil in Node.js, a ligeann duit cód JavaScript a fhorghníomhú i gcomhthéacs difriúil den inneall V8.
Tá an API sonraithe marcáilte go sainráite sa doiciméadú mar nach bhfuil sé beartaithe cód neamhiontaofa a rith, toisc nach soláthraíonn sé aonrú iomlán an chóid atá á rith agus ceadaíonn sé rochtain ar an gcomhthéacs bunaidh. Tugadh aghaidh ar an tsaincheist i pac-resolver 5.0.0, a aistríodh chun an leabharlann vm2 a úsáid, a sholáthraíonn leibhéal leithlisithe níos airde atá oiriúnach chun cód neamhiontaofa a rith.
Agus leagan leochaileach de pac-resolver á úsáid, is féidir le hionsaitheoir trí chomhad PAC atá deartha go speisialta a tharchur a chód JavaScript a fhorghníomhú i gcomhthéacs cód tionscadail a úsáideann Node.js, má úsáideann an tionscadal seo leabharlanna a bhfuil spleáchais acu. le pac-resolver. Is é an ceann is mó tóir de na leabharlanna fadhbacha ná Proxy-Agent, atá liostaithe mar spleáchas ar 360 tionscadal, lena n-áirítear urllib, aws-cdk, mailgun.js agus firebase-tools, ag déanamh níos mó ná trí mhilliún íoslódálacha in aghaidh na seachtaine san iomlán.
Má lódálann feidhmchlár a bhfuil spleáchas aige ar pac-resolver comhad PAC a sholáthraíonn córas a thacaíonn le prótacal cumraíochta uathoibríoch seachfhreastalaí WPAD, ansin is féidir le hionsaitheoirí a bhfuil rochtain acu ar an líonra áitiúil úsáid a bhaint as dáileadh na socruithe seachfhreastalaí trí DHCP chun comhaid PAC mailíseacha a chur isteach.
Foinse: oscailtenet.ru