Chaidh atharrachadh droch-rùnach a lorg anns a’ phasgan node-ipc NPM (CVE-2022-23812), le coltachd 25% gun tèid an caractar “❤️” a chuir an àite susbaint nam faidhlichean uile aig a bheil ruigsinneachd sgrìobhaidh. Cha tèid an còd droch-rùnach a chuir an gnìomh ach nuair a thèid a chuir air bhog air siostaman le seòlaidhean IP bhon Ruis no Belarus. Tha timcheall air millean luchdachadh sìos san t-seachdain sa phasgan node-ipc agus tha e air a chleachdadh mar eisimeileachd air 354 pasgan, a’ toirt a-steach vue-cli. Tha an duilgheadas cuideachd a’ toirt buaidh air a h-uile pròiseact aig a bheil nód-ipc mar eisimeileachd.
Chaidh an còd droch-rùnach a phostadh gu stòr NPM mar phàirt de na fiosan node-ipc 10.1.1 agus 10.1.2. Chaidh atharrachadh droch-rùnach a phostadh gu stòr Git a’ phròiseict às leth ùghdar a’ phròiseict 11 latha air ais. Chaidh an dùthaich a dhearbhadh sa chòd le bhith a’ gairm an t-seirbheis api.ipgeolocation.io. Tha an iuchair a chaidh faighinn a-steach don API ipgeolocation.io bhon embed droch-rùnach a-nis air a chùl-ghairm.
Anns na beachdan ris an rabhadh mu choltas còd amharasach, thuirt ùghdar a ’phròiseict gu bheil an t-atharrachadh a’ ciallachadh faidhle a chuir ris an deasg a sheallas teachdaireachd ag iarraidh sìth. Gu dearbh, rinn an còd sgrùdadh ath-chuairteach air clàran le oidhirp ath-sgrìobhadh a dhèanamh air a h-uile faidhle a thachair.
Chaidh fiosan node-ipc 11.0.0 agus 11.1.0 a phostadh nas fhaide air adhart gu stòr NPM, a chuir an àite a’ chòd droch-rùnach a chaidh a thogail a-steach le eisimeileachd bhon taobh a-muigh, “peacenotwar,” fo smachd an aon ùghdar agus a chaidh a thabhann airson a thoirt a-steach le luchd-gleidhidh pacaid a bha ag iarraidh a dhol dhan ghearan. Thathas ag ràdh nach eil am pasgan peacenotwar a’ nochdadh ach teachdaireachd mu shìth, ach a ’toirt aire do na gnìomhan a rinn an t-ùghdar mu thràth, tha susbaint a’ phacaid do-chreidsinneach agus chan eilear cinnteach às aonais atharrachaidhean millteach.
Aig an aon àm, chaidh ùrachadh don mheur node-ipc 9.2.2 seasmhach, a tha air a chleachdadh leis a’ phròiseact Vue.js, fhoillseachadh. Anns an fhoillseachadh ùr, a bharrachd air peacenotwar, chaidh am pasgan dathan a chuir ris an liosta de eisimeileachd, agus chuir an t-ùghdar a-steach atharrachaidhean millteach a-steach don chòd san Fhaoilleach. Tha an cead stòr airson an naidheachd ùr air atharrachadh bho MIT gu DBAD.
Leis gu bheil gnìomhan eile an ùghdair do-chreidsinneach, thathas a’ moladh do luchd-cleachdaidh nóde-ipc na h-eisimeileachd air dreach 9.2.1 a chàradh. Thathas cuideachd a’ moladh dreachan a chàradh airson leasachaidhean eile leis an aon ùghdar a chùm 41 pasgan. Tha timcheall air millean luchdachadh sìos gach seachdain aig cuid de na pacaidean a tha an aon ùghdar a’ cumail (js-ciudha, furasta-stack, js-message, event- pubsub).
Cur-ris: Chaidh oidhirpean eile a chlàradh gus gnìomhan a chuir ri diofar phasganan fosgailte nach eil co-cheangailte ri gnìomhachd dìreach thagraidhean agus a tha ceangailte ri seòlaidhean IP no locale siostam. Bidh an fheadhainn as neo-chinnteach de na h-atharrachaidhean sin (es5-ext, rete, sgrìobhaiche PHP, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) a’ goil sìos gu bhith a’ taisbeanadh fiosan gus crìoch a chuir air a’ chogadh airson luchd-cleachdaidh às an Ruis agus Belarus. Aig an aon àm, tha taisbeanaidhean nas cunnartach air an comharrachadh cuideachd, mar eisimpleir, chaidh crioptaiche a chuir ri pasganan modalan AWS Terraform agus chaidh cuingealachaidhean poilitigeach a thoirt a-steach don chead. Tha comharra-leabhair stèidhichte aig firmware Tasmota airson innealan ESP8266 agus ESP32 a chuireas casg air gnìomhachd innealan. Thathas a’ creidsinn gum faodadh a leithid de ghnìomhachd a bhith a’ lagachadh earbsa ann am bathar-bog stòr fosgailte.
Source: fosgailtenet.ru