Braitheadh athrú mailíseach sa phacáiste NPM nód-ipc (CVE-2022-23812), le dóchúlacht 25% go gcuirfear an carachtar “❤️” in ionad ábhar na gcomhad go léir a bhfuil rochtain scríofa acu. Ní chuirtear an cód mailíseach i ngníomh ach amháin nuair a sheoltar é ar chórais le seoltaí IP ón Rúis nó ón Bhealarúis. Tá thart ar mhilliún íosluchtú sa tseachtain sa phacáiste nód-ipc agus úsáidtear é mar spleáchas ar 354 pacáiste, lena n-áirítear vue-cli. Bíonn tionchar ag an bhfadhb freisin ar gach tionscadal a bhfuil nód-ipc acu mar spleáchais.
Cuireadh an cód mailíseach chuig stór an NPM mar chuid d’eisiúintí nód-ipc 10.1.1 agus 10.1.2. Postáladh athrú mailíseach chuig stór Git an tionscadail thar ceann údair an tionscadail 11 lá ó shin. Socraíodh an tír sa chód trí ghlaoch a chur ar an tseirbhís api.ipgeolocation.io. Tá an eochair ar a bhfuarthas rochtain ar an API ipgeolocation.io ón leabú mailíseach cúlghairthe anois.
Sna tuairimí don rabhadh faoi chuma cód amhrasach, dúirt údar an tionscadail gurb ionann an t-athrú agus comhad a chur leis an deasc a thaispeánann teachtaireacht ag iarraidh síocháin. Déanta na fírinne, rinne an cód cuardach athchúrsach ar eolairí le hiarracht a dhéanamh na comhaid ar fad ar thángthas orthu a fhorscríobh.
Cuireadh eisiúintí nód-ipc 11.0.0 agus 11.1.0 sa phost níos déanaí chuig stór an NPM, a chuir spleáchas seachtrach, “peacenotwar,” arna rialú ag an údar céanna in ionad an chóid mailísigh ionsuite, arna rialú ag an údar céanna agus arna thairiscint lena gcur san áireamh ag cothaitheoirí pacáiste ar mian leo. a bheith páirteach san agóid. Luaitear nach dtaispeántar sa phacáiste peacenotwar ach teachtaireacht faoi shíocháin, ach ag cur san áireamh na gníomhartha a rinne an t-údar cheana féin, ní féidir a thuilleadh ábhar sa phacáiste a thuar agus ní ráthaítear easpa athruithe millteach.
Ag an am céanna, scaoileadh nuashonrú ar an brainse cobhsaí nód-ipc 9.2.2, a úsáideann an tionscadal Vue.js. Sa scaoileadh nua, chomh maith le peacenotwar, cuireadh an pacáiste dathanna leis an liosta spleáchais freisin, a ndearna an t-údar athruithe millteach a chomhtháthú sa chód i mí Eanáir. Athraíodh an ceadúnas foinse don eisiúint nua ó MIT go DBAD.
Ós rud é go bhfuil gníomhartha breise an údair dothuartha, moltar d'úsáideoirí nód-ipc na spleáchais ar leagan 9.2.1 a shocrú. Moltar freisin leaganacha a shocrú d'fhorbairtí eile ag an údar céanna a choinnigh 41 pacáiste. Tá thart ar mhilliún íoslódálacha in aghaidh na seachtaine ag cuid de na pacáistí a chothaíonn an t-údar céanna (js-queue, easy-stack, js-message, event- pubsub).
Suimiú: Taifeadadh iarrachtaí eile chun gníomhartha a chur le pacáistí oscailte éagsúla nach mbaineann le feidhmiúlacht dhíreach feidhmchlár agus atá ceangailte le seoltaí IP nó locale córais. Is iad na hathruithe is neamhdhíobhálaí (es5-ext, rete, cumadóir PHP, PHPUnit, Bainisteoir Deisce Redis, Foláirimh Awesome Prometheus, verdaccio, comhaidstash) a thagann síos go dtí glaonna a thaispeáint chun deireadh a chur leis an gcogadh d’úsáideoirí ón Rúis agus ón Bhealarúis. Ag an am céanna, aithnítear léirithe níos contúirtí freisin, mar shampla, cuireadh criptitheoir le pacáistí modúil AWS Terraform agus tugadh srianta polaitiúla isteach sa cheadúnas. Tá leabharmharc ionsuite ag firmware Tasmota le haghaidh feistí ESP8266 agus ESP32 a fhéadfaidh bac a chur ar oibriú feistí. Creidtear go bhféadfadh gníomhaíocht dá leithéid an bonn a bhaint den mhuinín as bogearraí foinse oscailte.
Foinse: oscailtenet.ru