Kev hloov pauv tsis zoo tau tshawb pom hauv pob node-ipc NPM (CVE-2022-23812), nrog 25% qhov tshwm sim uas cov ntsiab lus ntawm txhua cov ntaub ntawv uas tau sau nkag tau hloov nrog "β€οΈ" tus cim. Txoj cai phem yog qhib tau tsuas yog thaum pib ntawm cov tshuab nrog IP chaw nyob los ntawm Russia lossis Belarus. Cov pob node-ipc muaj txog li ib lab rub tawm ib lub lim tiam thiab siv los ua kev vam khom rau 354 pob, suav nrog vue-cli. Txhua qhov haujlwm uas muaj node-ipc raws li kev vam khom kuj cuam tshuam los ntawm qhov teeb meem.
Cov cai phem tau muab tso rau NPM repository ua ib feem ntawm node-ipc 10.1.1 thiab 10.1.2 tso tawm. Kev hloov pauv tsis zoo tau muab tso rau qhov project Git repository sawv cev ntawm qhov project tus sau 11 hnub dhau los. Lub teb chaws tau txiav txim siab hauv txoj cai los ntawm kev hu rau api.ipgeolocation.io kev pabcuam. Tus yuam sij uas tau nkag mus rau ipgeolocation.io API los ntawm lub siab phem embed tam sim no tau muab tshem tawm.
Nyob rau hauv cov lus rau cov lus ceeb toom txog qhov tsos ntawm dubious code, tus sau ntawm qhov project tau hais tias qhov kev hloov pauv yog ntxiv rau cov ntaub ntawv rau lub desktop uas qhia cov lus hu rau kev thaj yeeb. Qhov tseeb, txoj cai tau ua ib qho kev tshawb nrhiav recursive ntawm cov npe nrog rau kev sim sau tag nrho cov ntaub ntawv ntsib.
Tshaj tawm ntawm node-ipc 11.0.0 thiab 11.1.0 tom qab tau tshaj tawm rau NPM repository, uas tau hloov kho cov cai tsis zoo nrog rau sab nraud, "peacenotwar," tswj los ntawm tib tus sau thiab muab rau suav nrog los ntawm cov neeg saib xyuas pob xav tau. mus koom kev tawm tsam. Nws tau hais tias pob Peacenotwar tsuas yog qhia cov lus hais txog kev thaj yeeb nyab xeeb, tab sis suav nrog cov kev ua uas twb tau ua los ntawm tus sau, cov ntsiab lus ntxiv ntawm pob yog qhov tsis muaj tseeb thiab qhov tsis muaj kev hloov pauv tsis tau lees paub.
Tib lub sijhawm, qhov hloov tshiab rau qhov ruaj khov node-ipc 9.2.2 ceg, uas yog siv los ntawm Vue.js qhov project, tau tso tawm. Nyob rau hauv qhov kev tso tawm tshiab, ntxiv rau peacenotwar, cov xim pob kuj tau ntxiv rau hauv cov npe ntawm kev vam khom, tus sau uas sib koom ua ke kev hloov pauv rau hauv txoj cai thaum Lub Ib Hlis. Daim ntawv tso cai qhov chaw rau qhov kev tso tawm tshiab tau hloov pauv los ntawm MIT rau DBAD.
Txij li thaum tus kws sau ntawv ua haujlwm ntxiv yog qhov tsis tuaj yeem kwv yees, cov neeg siv node-ipc tau pom zoo los kho qhov kev vam khom ntawm version 9.2.1. Nws tseem pom zoo kom kho cov qauv rau lwm qhov kev txhim kho los ntawm tib tus kws sau ntawv uas khaws 41 pob khoom. Qee cov pob khoom khaws cia los ntawm tib tus sau (js-queue, yooj yim-pawg, js-message, event-pubsub) muaj txog li ib lab rub tawm ib lub lim tiam.
Ntxiv: Lwm qhov kev sim tau raug kaw los ntxiv kev nqis tes ua rau ntau lub pob qhib uas tsis muaj feem cuam tshuam rau kev ua haujlwm ncaj qha ntawm daim ntawv thov thiab raug khi rau IP chaw nyob lossis thaj chaw hauv cheeb tsam. Qhov tsis zoo tshaj plaws ntawm cov kev hloov pauv no (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) boil down to displaying calls to end war for users from Russia and Belarus. Nyob rau tib lub sijhawm, qhov tshwm sim txaus ntshai kuj tau txheeb xyuas, piv txwv li, tus encryptor tau ntxiv rau AWS Terraform modules cov pob khoom thiab cov kev txwv nom tswv tau qhia rau hauv daim ntawv tso cai. Tasmota firmware rau ESP8266 thiab ESP32 pab kiag li lawm muaj ib tug built-in bookmark uas tuaj yeem thaiv kev ua haujlwm ntawm cov khoom siv. Nws ntseeg tias qhov kev ua haujlwm no tuaj yeem ua rau muaj kev ntseeg siab hauv qhov qhib software.
Tau qhov twg los: opennet.ru