Nisy fiovana ratsy hita tao amin'ny fonosana NPM node-ipc (CVE-2022-23812), miaraka amin'ny 25% ny mety ho solon'ny tarehin-tsoratra “❤️” ny ao anatin'ny rakitra rehetra manana fidirana an-tsoratra. Ny kaody ratsy dia alefa raha tsy alefa amin'ny rafitra misy adiresy IP avy any Rosia na Belarosia. Ny fonosana node-ipc dia manana fampidinana iray tapitrisa eo ho eo isan-kerinandro ary ampiasaina ho fiankinan-doha amin'ny fonosana 354, anisan'izany ny vue-cli. Ny tetikasa rehetra manana node-ipc ho fiankinan-doha dia voakasik'ilay olana ihany koa.
Ny kaody ratsy dia navoaka tao amin'ny tahiry NPM ho ampahany amin'ny famoahana node-ipc 10.1.1 sy 10.1.2. Nisy fiovana ratsy navoaka tao amin'ny tahiry Git an'ny tetikasa tamin'ny anaran'ny mpanoratra ny tetikasa 11 andro lasa izay. Ny firenena dia voafaritra ao amin'ny kaody amin'ny fiantsoana ny serivisy api.ipgeolocation.io. Ny lakile nidirana tamin'ny ipgeolocation.io API avy amin'ny fametahana ratsy dia nofoanana izao.
Ao amin'ny fanehoan-kevitra momba ny fampitandremana momba ny fisehon'ny kaody mampiahiahy, ny mpanoratra ny tetikasa dia nilaza fa ny fanovana dia mitovy amin'ny fampidirana rakitra amin'ny desktop izay mampiseho hafatra miantso fiadanana. Raha ny marina, ny kaody dia nanao fikarohana miverimberina amin'ny lahatahiry miaraka amin'ny fikasana hanodina ny rakitra rehetra hita.
Ny famoahana ny node-ipc 11.0.0 sy 11.1.0 dia navoaka taty aoriana tao amin'ny tahiry NPM, izay nisolo ny kaody ratsy naorina tamin'ny fiankinan-doha ivelany, "peacenotwar", fehezin'ny mpanoratra iray ihany ary natolotry ny mpikarakara fonosana maniry. hanatevin-daharana ny fihetsiketsehana. Voalaza fa hafatra momba ny fandriam-pahalemana ihany no asehon'ny fonosana peacenotwar, fa raha jerena ny hetsika efa nataon'ny mpanoratra dia tsy azo vinaniana ny votoatin'ny fonosana ary tsy azo antoka ny tsy fisian'ny fanovana manimba.
Nandritra izany fotoana izany, navoaka ny fanavaozana ny sampana stable node-ipc 9.2.2, izay ampiasain'ny tetikasa Vue.js. Ao amin'ny famoahana vaovao, ankoatry ny peacenotwar, ny fonosana loko dia nampidirina tao amin'ny lisitry ny fiankinan-doha, ny mpanoratra izay nampiditra fanovana manimba tao amin'ny code tamin'ny Janoary. Ny fahazoan-dàlana loharanon'ny famoahana vaovao dia niova avy amin'ny MIT ho DBAD.
Satria tsy azo vinaniana ny hetsika fanampiny ataon'ny mpanoratra, ny mpampiasa node-ipc dia asaina manamboatra ny fiankinan-doha amin'ny version 9.2.1. Amporisihina ihany koa ny manamboatra dikan-teny ho an'ny fivoarana hafa nataon'ilay mpanoratra iray izay nitazona fonosana 41. Ny sasany amin'ireo fonosana notazonin'ny mpanoratra iray ihany (js-queue, easy-stack, js-message, event-pubsub) dia manana fampidinana iray tapitrisa isan-kerinandro.
Fanampiny: Nisy fanandramana hafa voarakitra hanampiana hetsika amin'ny fonosana misokatra isan-karazany izay tsy mifandray amin'ny fampandehanana mivantana ny fampiharana ary mifamatotra amin'ny adiresy IP na ny toerana misy ny rafitra. Ny tena tsy mampidi-doza indrindra amin'ireo fiovana ireo (es5-ext, rete, PHP mpamoron-kira, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) dia mirotsaka amin'ny fampisehoana antso hamaranana ny ady ho an'ireo mpampiasa avy any Rosia sy Belarosia. Mandritra izany fotoana izany, hita ihany koa ny fisehoan-javatra mampidi-doza kokoa, ohatra, nampidirina tamin'ny fonosana modules AWS Terraform ny encryptor ary nampidirina tao amin'ny lisansa ny fameperana ara-politika. Ny firmware Tasmota ho an'ny fitaovana ESP8266 sy ESP32 dia manana tsoratadidy naorina izay afaka manakana ny fiasan'ny fitaovana. Inoana fa mety hanimba tanteraka ny fitokisana amin'ny rindrambaiko open source ny hetsika toy izany.
Source: opennet.ru