ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > ಪ್ರತಿ ವಾರಕ್ಕೆ 3 ಮಿಲಿಯನ್ ಡೌನ್‌ಲೋಡ್‌ಗಳೊಂದಿಗೆ ಪ್ಯಾಕ್-ರೆಸಲ್ವರ್ ಎನ್‌ಪಿಎಂ ಪ್ಯಾಕೇಜ್‌ನಲ್ಲಿನ ದುರ್ಬಲತೆ

ಪ್ರತಿ ವಾರಕ್ಕೆ 3 ಮಿಲಿಯನ್ ಡೌನ್‌ಲೋಡ್‌ಗಳೊಂದಿಗೆ ಪ್ಯಾಕ್-ರೆಸಲ್ವರ್ ಎನ್‌ಪಿಎಂ ಪ್ಯಾಕೇಜ್‌ನಲ್ಲಿನ ದುರ್ಬಲತೆ

Pac-resolver NPM ಪ್ಯಾಕೇಜ್, ವಾರಕ್ಕೆ 3 ಮಿಲಿಯನ್ ಡೌನ್‌ಲೋಡ್‌ಗಳನ್ನು ಹೊಂದಿದೆ, ಇದು ದುರ್ಬಲತೆಯನ್ನು ಹೊಂದಿದೆ (CVE-2021-23406) ಇದು Node.js ಯೋಜನೆಗಳಿಂದ HTTP ವಿನಂತಿಗಳನ್ನು ಕಳುಹಿಸುವಾಗ ಅಪ್ಲಿಕೇಶನ್‌ನ ಸಂದರ್ಭದಲ್ಲಿ ಅದರ JavaScript ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುಮತಿಸುತ್ತದೆ ಪ್ರಾಕ್ಸಿ ಸರ್ವರ್ ಸ್ವಯಂ ಕಾನ್ಫಿಗರೇಶನ್ ಕಾರ್ಯವನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ.

ಸ್ವಯಂಚಾಲಿತ ಪ್ರಾಕ್ಸಿ ಕಾನ್ಫಿಗರೇಶನ್ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಒಳಗೊಂಡಿರುವ PAC ಫೈಲ್‌ಗಳನ್ನು ಪ್ಯಾಕ್-ರೆಸಾಲ್ವರ್ ಪ್ಯಾಕೇಜ್ ಪಾರ್ಸ್ ಮಾಡುತ್ತದೆ. ಪಿಎಸಿ ಫೈಲ್ ಸಾಮಾನ್ಯ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಕೋಡ್ ಅನ್ನು FindProxyForURL ಫಂಕ್ಷನ್‌ನೊಂದಿಗೆ ಹೊಂದಿದ್ದು ಅದು ಹೋಸ್ಟ್ ಮತ್ತು ವಿನಂತಿಸಿದ URL ಅನ್ನು ಅವಲಂಬಿಸಿ ಪ್ರಾಕ್ಸಿಯನ್ನು ಆಯ್ಕೆಮಾಡುವ ತರ್ಕವನ್ನು ವ್ಯಾಖ್ಯಾನಿಸುತ್ತದೆ. ದುರ್ಬಲತೆಯ ಮೂಲತತ್ವವೆಂದರೆ ಈ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಕೋಡ್ ಅನ್ನು ಪ್ಯಾಕ್-ರೆಸಾಲ್ವರ್‌ನಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸಲು, Node.js ನಲ್ಲಿ ಒದಗಿಸಲಾದ VM API ಅನ್ನು ಬಳಸಲಾಗಿದೆ, ಇದು V8 ಎಂಜಿನ್‌ನ ವಿಭಿನ್ನ ಸನ್ನಿವೇಶದಲ್ಲಿ JavaScript ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.

ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ API ಅನ್ನು ವಿಶ್ವಾಸಾರ್ಹವಲ್ಲದ ಕೋಡ್ ಚಲಾಯಿಸಲು ಉದ್ದೇಶಿಸಿಲ್ಲ ಎಂದು ದಸ್ತಾವೇಜನ್ನು ಸ್ಪಷ್ಟವಾಗಿ ಗುರುತಿಸಲಾಗಿದೆ, ಏಕೆಂದರೆ ಅದು ಚಾಲನೆಯಲ್ಲಿರುವ ಕೋಡ್‌ನ ಸಂಪೂರ್ಣ ಪ್ರತ್ಯೇಕತೆಯನ್ನು ಒದಗಿಸುವುದಿಲ್ಲ ಮತ್ತು ಮೂಲ ಸಂದರ್ಭಕ್ಕೆ ಪ್ರವೇಶವನ್ನು ಅನುಮತಿಸುತ್ತದೆ. pac-resolver 5.0.0 ನಲ್ಲಿ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಲಾಗಿದೆ, ಇದು vm2 ಲೈಬ್ರರಿಯನ್ನು ಬಳಸಲು ಸರಿಸಲಾಗಿದೆ, ಇದು ವಿಶ್ವಾಸಾರ್ಹವಲ್ಲದ ಕೋಡ್ ಅನ್ನು ಚಲಾಯಿಸಲು ಸೂಕ್ತವಾದ ಹೆಚ್ಚಿನ ಮಟ್ಟದ ಪ್ರತ್ಯೇಕತೆಯನ್ನು ಒದಗಿಸುತ್ತದೆ.

ಪ್ರತಿ ವಾರಕ್ಕೆ 3 ಮಿಲಿಯನ್ ಡೌನ್‌ಲೋಡ್‌ಗಳೊಂದಿಗೆ ಪ್ಯಾಕ್-ರೆಸಲ್ವರ್ ಎನ್‌ಪಿಎಂ ಪ್ಯಾಕೇಜ್‌ನಲ್ಲಿನ ದುರ್ಬಲತೆ

Pac-resolver ನ ದುರ್ಬಲ ಆವೃತ್ತಿಯನ್ನು ಬಳಸುವಾಗ, ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ PAC ಫೈಲ್‌ನ ಪ್ರಸರಣದ ಮೂಲಕ ಆಕ್ರಮಣಕಾರನು Node.js ಅನ್ನು ಬಳಸಿಕೊಂಡು ಯೋಜನೆಯ ಕೋಡ್‌ನ ಸಂದರ್ಭದಲ್ಲಿ ತನ್ನ JavaScript ಕೋಡ್‌ನ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯನ್ನು ಸಾಧಿಸಬಹುದು, ಈ ಯೋಜನೆಯು ಅವಲಂಬನೆಗಳನ್ನು ಹೊಂದಿರುವ ಲೈಬ್ರರಿಗಳನ್ನು ಬಳಸಿದರೆ ಪ್ಯಾಕ್ ಪರಿಹಾರದೊಂದಿಗೆ. ಸಮಸ್ಯಾತ್ಮಕ ಲೈಬ್ರರಿಗಳಲ್ಲಿ ಅತ್ಯಂತ ಜನಪ್ರಿಯವಾದ ಪ್ರಾಕ್ಸಿ-ಏಜೆಂಟ್, urllib, aws-cdk, mailgun.js ಮತ್ತು firebase-tools ಸೇರಿದಂತೆ 360 ಯೋಜನೆಗಳ ಮೇಲೆ ಅವಲಂಬನೆಯಾಗಿ ಪಟ್ಟಿಮಾಡಲಾಗಿದೆ, ಒಟ್ಟು ವಾರಕ್ಕೆ ಮೂರು ಮಿಲಿಯನ್ ಡೌನ್‌ಲೋಡ್‌ಗಳು.

WPAD ಪ್ರಾಕ್ಸಿ ಸ್ವಯಂಚಾಲಿತ ಕಾನ್ಫಿಗರೇಶನ್ ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬೆಂಬಲಿಸುವ ವ್ಯವಸ್ಥೆಯಿಂದ ಒದಗಿಸಲಾದ PAC ಫೈಲ್ ಅನ್ನು ಪ್ಯಾಕ್-ರೆಸಾಲ್ವರ್‌ನಲ್ಲಿ ಅವಲಂಬನೆಯನ್ನು ಹೊಂದಿರುವ ಅಪ್ಲಿಕೇಶನ್ ಲೋಡ್ ಮಾಡಿದರೆ, ಸ್ಥಳೀಯ ನೆಟ್‌ವರ್ಕ್‌ಗೆ ಪ್ರವೇಶ ಹೊಂದಿರುವ ಆಕ್ರಮಣಕಾರರು ದುರುದ್ದೇಶಪೂರಿತ PAC ಫೈಲ್‌ಗಳನ್ನು ಸೇರಿಸಲು DHCP ಮೂಲಕ ಪ್ರಾಕ್ಸಿ ಸೆಟ್ಟಿಂಗ್‌ಗಳ ವಿತರಣೆಯನ್ನು ಬಳಸಬಹುದು.

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ