દર અઠવાડિયે 3 મિલિયન ડાઉનલોડ્સ સાથે pac-રિઝોલ્વર NPM પેકેજમાં નબળાઈ

pac-રિઝોલ્વર NPM પેકેજ, જે દર અઠવાડિયે 3 મિલિયનથી વધુ ડાઉનલોડ્સ ધરાવે છે, તેમાં નબળાઈ (CVE-2021-23406) છે જે Node.js પ્રોજેક્ટ્સમાંથી HTTP વિનંતીઓ મોકલતી વખતે તેના JavaScript કોડને એપ્લિકેશનના સંદર્ભમાં એક્ઝિક્યુટ કરવાની મંજૂરી આપે છે. પ્રોક્સી સર્વર સ્વતઃ-રૂપરેખાંકન કાર્યને સમર્થન આપે છે.

pac-રિઝોલ્વર પેકેજ PAC ફાઇલોને પાર્સ કરે છે જેમાં ઓટોમેટિક પ્રોક્સી રૂપરેખાંકન સ્ક્રિપ્ટનો સમાવેશ થાય છે. PAC ફાઇલમાં FindProxyForURL ફંક્શન સાથે નિયમિત JavaScript કોડ હોય છે જે હોસ્ટ અને વિનંતી કરેલ URL પર આધાર રાખીને પ્રોક્સી પસંદ કરવા માટેના તર્કને વ્યાખ્યાયિત કરે છે. નબળાઈનો સાર એ છે કે આ JavaScript કોડને pac-resolverમાં એક્ઝિક્યુટ કરવા માટે, Node.js માં આપેલ VM API નો ઉપયોગ કરવામાં આવ્યો હતો, જે તમને V8 એન્જિનના અલગ સંદર્ભમાં JavaScript કોડને એક્ઝિક્યુટ કરવાની મંજૂરી આપે છે.

ઉલ્લેખિત API સ્પષ્ટપણે દસ્તાવેજીકરણમાં અવિશ્વસનીય કોડ ચલાવવાનો હેતુ નથી તરીકે ચિહ્નિત થયેલ છે, કારણ કે તે ચલાવવામાં આવતા કોડની સંપૂર્ણ અલગતા પ્રદાન કરતું નથી અને મૂળ સંદર્ભને ઍક્સેસ કરવાની મંજૂરી આપે છે. સમસ્યાને pac-રિઝોલ્વર 5.0.0 માં સંબોધવામાં આવી છે, જે vm2 લાઇબ્રેરીનો ઉપયોગ કરવા માટે ખસેડવામાં આવી છે, જે અવિશ્વસનીય કોડ ચલાવવા માટે યોગ્ય ઉચ્ચ સ્તરનું આઇસોલેશન પૂરું પાડે છે.

pac-રિઝોલ્વરના નબળા સંસ્કરણનો ઉપયોગ કરતી વખતે, હુમલાખોર ખાસ ડિઝાઇન કરેલી PAC ફાઇલના પ્રસારણ દ્વારા Node.js નો ઉપયોગ કરીને પ્રોજેક્ટના કોડના સંદર્ભમાં તેના JavaScript કોડનો અમલ હાંસલ કરી શકે છે, જો આ પ્રોજેક્ટ અવલંબન ધરાવતી લાઇબ્રેરીઓનો ઉપયોગ કરે છે. pac-રિઝોલ્વર સાથે. સમસ્યારૂપ પુસ્તકાલયોમાં સૌથી વધુ લોકપ્રિય પ્રોક્સી-એજન્ટ છે, જે urllib, aws-cdk, mailgun.js અને ફાયરબેઝ-ટૂલ્સ સહિત 360 પ્રોજેક્ટ્સ પર નિર્ભરતા તરીકે સૂચિબદ્ધ છે, જે દર અઠવાડિયે કુલ ત્રણ મિલિયનથી વધુ ડાઉનલોડ્સ છે.

જો પેક-રિઝોલ્વર પર નિર્ભરતા ધરાવતી એપ્લિકેશન WPAD પ્રોક્સી ઓટોમેટિક કન્ફિગરેશન પ્રોટોકોલને સપોર્ટ કરતી સિસ્ટમ દ્વારા પૂરી પાડવામાં આવેલ PAC ફાઇલ લોડ કરે છે, તો સ્થાનિક નેટવર્કની ઍક્સેસ ધરાવતા હુમલાખોરો દૂષિત PAC ફાઇલો દાખલ કરવા માટે DHCP મારફતે પ્રોક્સી સેટિંગ્સના વિતરણનો ઉપયોગ કરી શકે છે.

સોર્સ: opennet.ru