Node.js, libuv എന്നിവയിലെ കേടുപാടുകൾ

സെർവർ സൈഡ് JavaScript പ്ലാറ്റ്‌ഫോമിൻ്റെ തിരുത്തൽ റിലീസുകൾ Node.js 21.6.2, 20.11.1, 18.19.1 ലഭ്യമാണ്, അതിൽ 8 കേടുപാടുകൾ പരിഹരിച്ചിരിക്കുന്നു, അവയിൽ 4 എണ്ണം ഉയർന്ന തലത്തിലുള്ള അപകടമാണ്:

• CVE-2024-21892 - വർക്ക്ഫ്ലോ പ്രവർത്തിക്കുന്ന ഉയർന്ന പ്രത്യേകാവകാശങ്ങൾ അവകാശമാക്കുന്ന ഒരു പ്രത്യേകാവകാശമില്ലാത്ത ഉപയോക്താവ് കോഡിൻ്റെ പകരക്കാരൻ്റെ സാധ്യത. ഒരു പ്രത്യേകാവകാശമില്ലാത്ത ഉപയോക്താവ് സജ്ജമാക്കിയ എൻവയോൺമെൻ്റ് വേരിയബിളുകൾ പ്രോസസ്സ് ചെയ്യുന്നതിന് ഉയർന്ന പ്രത്യേകാവകാശങ്ങളുള്ള ഒരു പ്രക്രിയയെ അനുവദിക്കുന്ന ഒരു അപവാദം നടപ്പിലാക്കുന്നതിലെ പിശകാണ് ഈ അപകടത്തിന് കാരണം. CAP_NET_BIND_SERVICE കഴിവിന് മാത്രമേ ഒഴിവാക്കൽ അനുവദിച്ചിട്ടുള്ളൂ, എന്നാൽ ഒരു ബഗ് കാരണം ഇത് മറ്റ് ചില കഴിവുകൾക്കും ബാധകമാണ്.
• CVE-2024-22019 - ബിൽറ്റ്-ഇൻ HTTP സെർവർ പ്രത്യേകം രൂപകൽപ്പന ചെയ്‌ത ചങ്ക് ചെയ്‌ത അഭ്യർത്ഥനകൾ പ്രോസസ്സ് ചെയ്യുമ്പോൾ ലഭ്യമായ ഉറവിടങ്ങളുടെ (സിപിയു ലോഡും ബാൻഡ്‌വിഡ്ത്തും ഉപഭോഗം) തീർന്നുപോയതിനാൽ സേവനം നിരസിക്കുന്നു, ഇത് ഒരു കണക്ഷനിൽ പരിധിയില്ലാത്ത ബൈറ്റുകൾ വായിക്കുന്നതിലേക്ക് നയിക്കുന്നു.
• CVE-2024-21896 - ഫയൽ പാതകളിൽ അടിസ്ഥാന ഡയറക്‌ടറി പരിധിക്ക് പുറത്താണ്. ബഫർ ക്ലാസ് ഉപയോഗിച്ച് പാഥ് കടന്നുപോകുമ്പോൾ path.resolve() ഉപയോഗിച്ച് ഫയൽ പാത്തുകളുടെ നോർമലൈസേഷൻ മറികടക്കാൻ ദുർബലത നിങ്ങളെ അനുവദിക്കുന്നു. പരിശോധിച്ചുറപ്പിച്ചതിന് ശേഷം അത്തരമൊരു പാത്ത് ലഭിക്കുന്നതിന്, Buffer.from() രീതിയെ വിളിക്കുന്നു, എന്നാൽ ആപ്ലിക്കേഷൻ Buffer.prototype.utf8Write-ലേക്കുള്ള ഒരു കോൾ ഉപയോഗിച്ചേക്കാം, ഇത് path.resolve() എക്സിക്യൂട്ട് ചെയ്തതിന് ശേഷമുള്ള ഘട്ടത്തിൽ ഉള്ളടക്കം മാറ്റിസ്ഥാപിക്കുന്നതിലേക്ക് നയിക്കുന്നു. ഒരു ദുർബലത സൃഷ്ടിക്കുകയും ചെയ്യുന്നു.
• CVE-2024-22017 setuid() എന്നതിലേക്കുള്ള കോൾ എല്ലാ പ്രത്യേകാവകാശങ്ങളും പുനഃസജ്ജമാക്കിയില്ല. പ്രത്യേകിച്ചും, setuid() വിളിക്കപ്പെടുന്നതിന് മുമ്പ്, ലിബുവിൽ ഉപയോഗിക്കുന്ന io_uring പ്രവർത്തനങ്ങളെ സെറ്റൂയിഡ് () ബാധിക്കില്ല.
• CVE-2023-46809 എന്നത് പ്രൈവറ്റ് ഡീക്രിപ്റ്റ്() API-യിലെ ഒരു അപകടസാധ്യതയാണ്, അത് പ്രവർത്തനങ്ങളുടെ സമയത്തെ അടിസ്ഥാനമാക്കി RSA ഡീക്രിപ്റ്റ് ചെയ്യാൻ മാർവിൻ ആക്രമണത്തെ അനുവദിക്കുന്നു.
• CVE-2024-21891 ഇഷ്‌ടാനുസൃത ഫയൽ പാത്ത് നോർമലൈസേഷൻ ഹാൻഡ്‌ലറുകൾ ഉപയോഗിക്കുമ്പോൾ സാധ്യമായ ആക്‌സസ് പെർമിഷൻ മോഡൽ ബൈപാസ് ഉണ്ട്.
• CVE-2024-21890 - "--allow-fs-read", "--allow-fs-write" എന്നീ പാരാമീറ്ററുകളിൽ തെറ്റായ മാസ്ക് കൈകാര്യം ചെയ്യൽ. ഉദാഹരണത്തിന്, "--allow-fs-read=/home/node/.ssh/*.pub" എന്നത് ".ssh/" എന്നതിൻ്റെ എല്ലാ ഉള്ളടക്കങ്ങളിലേക്കും ആക്‌സസ് അനുവദിക്കും, കൂടാതെ ".pub" എന്ന വിപുലീകരണമുള്ള ഫയലുകളിലേക്ക് മാത്രമല്ല, കാരണം മാസ്ക് " *" ആണ് പാതയുടെ അവസാന ഘടകമായി കണക്കാക്കുന്നത്.
• CVE-2024-22025 ഒരു ഫെച്ച്() കോളിലൂടെ ലഭിച്ച ബ്രോട്ട്‌ലി ഫോർമാറ്റ് ചെയ്‌ത കംപ്രസ് ചെയ്‌ത ഡാറ്റ ഡീകോഡ് ചെയ്യുമ്പോൾ റിസോഴ്‌സ് ഉപഭോഗം കാരണം സേവനം നിഷേധിക്കുന്നു.

കൂടാതെ, കണക്ഷൻ മൾട്ടിപ്ലക്‌സിംഗിനും അസിൻക്രണസ് I/O പ്രോസസ്സിംഗിനും Node.js-ൽ ഉപയോഗിക്കുന്ന ഒരു ലൈബ്രറിയായ libuv 1.48.0 ന്റെ പ്രകാശനം ശ്രദ്ധിക്കേണ്ടതാണ്. Node.js-ന് പുറമേ, BIND 9, Knot DNS DNS സെർവറുകൾ, H2O HTTP സെർവർ, Luvit Lua ഫ്രെയിംവർക്ക് എന്നിവയിലും ലൈബ്രറി ഉപയോഗിക്കുന്നു. വെർച്വൽ മെഷീൻ MoarVM, ജൂലിയ ഭാഷ, uvloop പൈത്തൺ ഫ്രെയിംവർക്ക്. പുതിയ പതിപ്പ് libuv ഉപയോഗിക്കുന്ന പ്രോജക്റ്റുകളെ ബാധിക്കുന്ന ഒരു ദുർബലത (CVE-2024-24806) പരിഹരിക്കുകയും ആന്തരിക API-യിലേക്ക് ആക്‌സസ് നേടുന്നതിന് സെർവർ-സൈഡ് റിക്വസ്റ്റ് ഫോർജറി (SSRF) ആക്രമണത്തിന് അനുവദിക്കുകയും ചെയ്യുന്നു. getaddrinfo() ഫംഗ്‌ഷൻ വഴി ഡൊമെയ്‌ൻ പരിഹരിക്കുന്നതിന് മുമ്പ് uv_getaddrinfo() ഫംഗ്‌ഷൻ ഹോസ്റ്റ്‌നെയിം 256 പ്രതീകങ്ങളായി വെട്ടിച്ചുരുക്കുന്നതിനാലാണ് ദുർബലത ഉണ്ടാകുന്നത്, ഇത് തെറ്റായ ഹോസ്റ്റ്‌നെയിം നിർണ്ണയിക്കുന്നതിലേക്ക് നയിച്ചേക്കാം. IP വിലാസങ്ങൾ സുരക്ഷാ പരിശോധനകൾ മറികടക്കൽ. ഉദാഹരണത്തിന്, "username.example.com" പോലുള്ള ഉപഡൊമെയ്‌നുകൾ സൃഷ്ടിക്കുന്ന MySpace പോലുള്ള സേവനങ്ങളെ ഒരു നീണ്ട ഉപയോക്തൃനാമം വ്യക്തമാക്കി ആക്രമിക്കാൻ കഴിയും.

Node.js-ൽ ഉപയോഗിക്കുന്ന undici 5.28.3 HTTP ക്ലയൻ്റിനായുള്ള ഒരു അപ്‌ഡേറ്റും റിലീസ് ചെയ്‌തു, അഭ്യർത്ഥനകൾ റീഡയറക്‌ടുചെയ്യുമ്പോൾ പ്രോക്‌സി-ഓതറൈസേഷൻ HTTP ഹെഡർ മായ്‌ക്കുന്നതിൽ പരാജയപ്പെട്ടതുമൂലമുണ്ടായ ഒരു കേടുപാടുകൾ (CVE-2024-24758) പരിഹരിച്ചു.

അവലംബം: opennet.ru