Tha so-leòntachd (CVE-3-2021) anns a’ phacaid pac-resolver NPM, aig a bheil còrr air 23406 millean luchdachadh sìos san t-seachdain, a leigeas leis a chòd JavaScript a chuir gu bàs ann an co-theacsa an tagraidh nuair a chuireas e iarrtasan HTTP bho phròiseactan Node.js a tha cuir taic ri gnìomh fèin-rèiteachaidh frithealaiche progsaidh.
Bidh am pasgan pac-resolver a’ parsadh faidhlichean PAC a tha a’ toirt a-steach sgriobt rèiteachaidh proxy fèin-ghluasadach. Anns an fhaidhle PAC tha còd JavaScript cunbhalach le gnìomh FindProxyForURL a mhìnicheas an reusanachadh airson neach-ionaid a thaghadh a rèir an òstair agus an URL a chaidh iarraidh. Is e brìgh na so-leòntachd, gus an còd JavaScript seo a chuir an gnìomh ann am pac-resolver, chaidh an API VM a chaidh a thoirt seachad ann an Node.js a chleachdadh, a leigeas leat còd JavaScript a chuir an gnìomh ann an co-theacsa eadar-dhealaichte den einnsean V8.
Tha an API ainmichte air a chomharrachadh gu soilleir anns na sgrìobhainnean mar nach eil e an dùil còd neo-earbsach a ruith, leis nach eil e a’ toirt seachad aonaranachd iomlan den chòd a thathar a’ ruith agus a’ toirt cothrom air a’ cho-theacs tùsail. Chaidh a’ chùis fhuasgladh ann am pac-resolver 5.0.0, a chaidh a ghluasad gus an leabharlann vm2 a chleachdadh, a bheir seachad ìre nas àirde de aonaranachd a tha freagarrach airson còd neo-earbsach a ruith.
Nuair a bhios tu a’ cleachdadh dreach so-leònte de pac-resolver, faodaidh neach-ionnsaigh tro sgaoileadh faidhle PAC a chaidh a dhealbhadh gu sònraichte a chòd JavaScript a choileanadh ann an co-theacsa còd pròiseict a’ cleachdadh Node.js, ma chleachdas am pròiseact seo leabharlannan aig a bheil eisimeileachd le pac-resolution. Is e Proxy-Agent an fheadhainn as mòr-chòrdte de na leabharlannan trioblaideach, air an liostadh mar eisimeileachd air 360 pròiseact, a’ toirt a-steach urllib, aws-cdk, mailgun.js agus firebase-tools, le còrr air trì millean luchdachadh sìos gach seachdain.
Ma tha tagradh aig a bheil eisimeileachd air pac-resolver a’ luchdachadh faidhle PAC air a sholarachadh le siostam a bheir taic do phròtacal rèiteachaidh fèin-ghluasadach WPAD proxy, faodaidh luchd-ionnsaigh aig a bheil cothrom air an lìonra ionadail cuairteachadh roghainnean proxy a chleachdadh tro DHCP gus faidhlichean PAC droch-rùnach a chuir a-steach.
Source: fosgailtenet.ru