Tha so-leòntachd (CVE-3-270) aig a’ phacaid node-netmask NPM, anns a bheil timcheall air 2021 millean luchdachadh sìos san t-seachdain agus a thathas a ’cleachdadh mar eisimeileachd air còrr air 28918 mìle pròiseact air GitHub (CVE-2.0.0-XNUMX). gus faighinn a-mach dè a thachras airson raointean seòlaidh no airson sìoladh. Tha a’ chùis stèidhichte ann an sgaoileadh node-netmask XNUMX.
Tha an so-leòntachd ga dhèanamh comasach dèiligeadh ri seòladh IP taobh a-muigh mar sheòladh bhon lìonra a-staigh agus a chaochladh, agus le loidsig sònraichte a bhith a’ cleachdadh modal node-netmask san tagradh gus SSRF (mealladh iarrtas taobh an fhrithealaiche), RFI a dhèanamh. (In-ghabhail faidhle iomallach) agus ionnsaighean LFI (In-ghabhail File Ionadail)) gus faighinn gu goireasan air an lìonra a-staigh agus a’ toirt a-steach faidhlichean taobh a-muigh no ionadail anns an t-sreath gnìomhachaidh. Is e an duilgheadas a th ’ann, a rèir an t-sònrachadh, gum bu chòir luachan sreang seòlaidh a’ tòiseachadh le neoni a bhith air am mìneachadh mar àireamhan octal, ach chan eil am modal node-netmask a ’toirt aire don seo agus gan làimhseachadh mar àireamhan deicheach.
Mar eisimpleir, dh’ fhaodadh neach-ionnsaigh goireas ionadail iarraidh le bhith a’ sònrachadh an luach “0177.0.0.1”, a tha a’ freagairt ri “127.0.0.1”, ach tilgidh am modal “node-netmask” air falbh an null, agus làimhsichidh e 0177.0.0.1 ″ mar "" 177.0.0.1", a tha san tagradh nuair a thathar a’ measadh riaghailtean ruigsinneachd, cha bhith e comasach dearbh-aithne a dhearbhadh le “127.0.0.1”. San aon dòigh, faodaidh neach-ionnsaigh an seòladh “0127.0.0.1” a shònrachadh, a bu chòir a bhith co-ionann ri “87.0.0.1”, ach a thèid a làimhseachadh mar “127.0.0.1” sa mhodal “node-netmask”. San aon dòigh, faodaidh tu an seic airson ruigsinneachd air seòlaidhean eadra-lìon a mhealladh le bhith a’ sònrachadh luachan mar “012.0.0.1” (co-ionann ri “10.0.0.1”, ach thèid a phròiseasadh mar 12.0.0.1 rè seic).
Tha an luchd-rannsachaidh a dh’ ainmich an duilgheadas ag ràdh gu bheil an duilgheadas tubaisteach agus a ’toirt seachad grunn shuidheachaidhean ionnsaigh, ach tha a’ mhòr-chuid dhiubh a ’coimhead tuairmeasach. Mar eisimpleir, tha e a’ bruidhinn air comasachd ionnsaigh a thoirt air tagradh stèidhichte air Node.js a stèidhich ceanglaichean bhon taobh a-muigh gus goireas iarraidh stèidhichte air paramadairean no dàta an iarrtais cuir a-steach, ach chan eil an tagradh air ainmeachadh gu sònraichte no gu mionaideach. Eadhon ged a lorgas tu tagraidhean a bhios a’ luchdachadh ghoireasan stèidhichte air na seòlaidhean IP a chaidh a chuir a-steach, chan eil e gu tur soilleir ciamar a ghabhas brath a ghabhail air so-leòntachd ann an cleachdadh gun a bhith a’ ceangal ri lìonra ionadail no gun a bhith a’ faighinn smachd air seòlaidhean IP “sgàthan”.
Chan eil an luchd-rannsachaidh a’ gabhail ris ach gu bheil luchd-seilbh 87.0.0.1 (Telecom Italia) agus 0177.0.0.1 (Brasil Telecom) comasach air faighinn seachad air a’ chuingealachadh ruigsinneachd gu 127.0.0.1. Is e suidheachadh nas reusanta a bhith a’ gabhail brath air so-leòntachd gus faighinn seachad air grunn liostaichean bloca taobh-aplacaid. Faodar a’ chùis a chuir an sàs cuideachd ann a bhith a’ roinneadh a’ mhìneachaidh air raointean eadra-lìon ann am modal NPM “private-ip”.
Source: fosgailtenet.ru