ProHoster > Blog > vaovao amin'ny Internet > Faharefoana ao amin'ny fonosana NPM pac-resolver miaraka amin'ny fampidinana 3 tapitrisa isan-kerinandro

Faharefoana ao amin'ny fonosana NPM pac-resolver miaraka amin'ny fampidinana 3 tapitrisa isan-kerinandro

Ny fonosana NPM pac-resolver, izay manana fampidinana mihoatra ny 3 tapitrisa isan-kerinandro, dia manana vulnerability (CVE-2021-23406) izay mamela ny code JavaScript ho tanterahina amin'ny tontolon'ny fampiharana rehefa mandefa fangatahana HTTP avy amin'ny tetikasa Node.js izay manohana ny fiasan'ny auto-configuration server proxy.

Ny fonosana pac-resolver dia mamadika ny rakitra PAC izay misy sora-baventy fanefena proxy mandeha ho azy. Ny rakitra PAC dia misy code JavaScript mahazatra miaraka amin'ny fiasa FindProxyForURL izay mamaritra ny lojika amin'ny fisafidianana proxy miankina amin'ny mpampiantrano sy ny URL nangatahana. Ny fototry ny vulnerability dia ny fanatanterahana ity code JavaScript amin'ny pac-resolver ity, ny API VM nomena ao amin'ny Node.js dia nampiasaina, izay ahafahanao manatanteraka ny code JavaScript amin'ny toe-javatra hafa amin'ny motera V8.

Ny API voatondro dia voamarika mazava ao amin'ny tahirin-kevitra fa tsy natao hampandehanana kaody tsy azo itokisana, satria tsy manome fitokanana tanteraka ny kaody mandeha ary mamela ny fidirana amin'ny contexte tany am-boalohany. Ny olana dia voavaha ao amin'ny pac-resolver 5.0.0, izay nafindra mba hampiasa ny vm2 tranomboky, izay manome ambaratonga avo kokoa ny fitokanana mety amin'ny fampandehanana ny kaody tsy azo itokisana.

Faharefoana ao amin'ny fonosana NPM pac-resolver miaraka amin'ny fampidinana 3 tapitrisa isan-kerinandro

Rehefa mampiasa dikan-teny marefo amin'ny pac-resolver, ny mpanafika amin'ny alΓ lan'ny fandefasana rakitra PAC natao manokana dia afaka manatanteraka ny kaody JavaScript ao anatin'ny tontolon'ny kaody tetikasa mampiasa Node.js, raha mampiasa tranomboky misy fiankinan-doha ity tetikasa ity. miaraka amin'ny pac-resolver. Ny malaza indrindra amin'ireo tranomboky misy olana dia Proxy-Agent, voatanisa ho fiankinan-doha amin'ny tetikasa 360, anisan'izany ny urllib, aws-cdk, mailgun.js ary firebase-tools, mitentina telo tapitrisa mahery isan-kerinandro.

Raha misy rindranasa manana fiankinan-doha amin'ny pac-resolver dia mitondra rakitra PAC omen'ny rafitra iray manohana ny protocole automatique configuration WPAD proxy, dia afaka mampiasa ny fizarana ny fandrindrana proxy amin'ny alalan'ny DHCP ny mpanafika manana fidirana amin'ny tambajotra eo an-toerana mba hampidirana rakitra PAC ratsy.

Source: opennet.ru

Add a comment