ProHoster > ဘလော့ > အင်တာနက်သတင်း > တစ်ပတ်လျှင် ဒေါင်းလုဒ် ၃ သန်းရှိသော pac-resolver NPM ပက်ကေ့ချ်တွင် အားနည်းချက်

တစ်ပတ်လျှင် ဒေါင်းလုဒ် ၃ သန်းရှိသော pac-resolver NPM ပက်ကေ့ချ်တွင် အားနည်းချက်

တစ်ပတ်လျှင် ဒေါင်းလုဒ် 3 သန်းကျော်ရှိသည့် pac-resolver NPM ပက်ကေ့ဂျ်တွင် အားနည်းချက်တစ်ခု ရှိသည် (CVE-2021-23406) တွင် ၎င်းသည် Node.js ပရောဂျက်များမှ HTTP တောင်းဆိုချက်များကို ပေးပို့သည့်အခါ အပလီကေးရှင်း၏အခြေအနေတွင် ၎င်း၏ JavaScript ကုဒ်ကို လုပ်ဆောင်နိုင်စေပါသည်။ ပရောက်စီဆာဗာ အလိုအလျောက်ဖွဲ့စည်းမှုလုပ်ဆောင်ချက်ကို ပံ့ပိုးပေးသည်။

pac-resolver package သည် အလိုအလျောက် proxy configuration script ပါ၀င်သည့် PAC ဖိုင်များကို ခွဲခြမ်းစိပ်ဖြာသည်။ PAC ဖိုင်တွင် host နှင့် တောင်းဆိုထားသော URL ပေါ်မူတည်၍ proxy ရွေးချယ်ခြင်းအတွက် ယုတ္တိကိုသတ်မှတ်ပေးသည့် FindProxyForURL လုပ်ဆောင်ချက်ဖြင့် ပုံမှန် JavaScript ကုဒ်ပါရှိသည်။ အားနည်းချက်၏ အနှစ်သာရမှာ pac-resolver တွင် ဤ JavaScript ကုဒ်ကို လုပ်ဆောင်ရန်အတွက် Node.js တွင် ပေးထားသည့် VM API ကို အသုံးပြုထားပြီး၊ ၎င်းသည် V8 အင်ဂျင်၏ မတူညီသောအခြေအနေတွင် JavaScript ကုဒ်ကို လုပ်ဆောင်နိုင်စေပါသည်။

သတ်မှတ်ထားသော API သည် မယုံကြည်ရသောကုဒ်ကို လုပ်ဆောင်ရန်အတွက် ရည်ရွယ်ခြင်းမဟုတ်ကြောင်း စာရွက်စာတမ်းတွင် အတိအလင်း မှတ်သားထားပြီး၊ ၎င်းသည် လုပ်ဆောင်နေသည့်ကုဒ်၏ ပြီးပြည့်စုံသော သီးခြားခွဲထုတ်ခြင်းကို မပေးသည့်အပြင် မူရင်းအကြောင်းအရာသို့ ဝင်ရောက်ခွင့်ကိုလည်း ခွင့်ပြုပေးပါသည်။ မယုံကြည်ရသောကုဒ်ကို အသုံးပြုရန်အတွက် သင့်လျော်သော သီးခြားခွဲထုတ်မှုအဆင့်ကို ပံ့ပိုးပေးသည့် vm5.0.0 စာကြည့်တိုက်ကို အသုံးပြုရန် ရွှေ့ထားသော pac-resolver 2 တွင် ပြဿနာကို ဖြေရှင်းပြီးဖြစ်သည်။

တစ်ပတ်လျှင် ဒေါင်းလုဒ် ၃ သန်းရှိသော pac-resolver NPM ပက်ကေ့ချ်တွင် အားနည်းချက်

အားနည်းချက်ရှိသော pac-resolver ဗားရှင်းကို အသုံးပြုသောအခါ၊ အထူးဒီဇိုင်းထုတ်ထားသော PAC ဖိုင်ကို ထုတ်လွှင့်ခြင်းဖြင့် တိုက်ခိုက်သူသည် Node.js ကို အသုံးပြုထားသော ပရောဂျက်၏ကုဒ်၏ ဆက်စပ်နေရာတွင် ၎င်း၏ JavaScript ကုဒ်ကို အကောင်အထည်ဖော်နိုင်သည်၊ အကယ်၍ ဤပရောဂျက်သည် မှီခိုမှုရှိသော စာကြည့်တိုက်များကို အသုံးပြုပါက၊ pac-resolver နှင့်အတူ။ ပြဿနာရှိသော စာကြည့်တိုက်များ၏ ရေပန်းအစားဆုံးမှာ Proxy-Agent ဖြစ်ပြီး urlib၊ aws-cdk၊ mailgun.js နှင့် firebase-tools အပါအဝင် 360 ပရောဂျက်များအပေါ် မှီခိုမှုအဖြစ် စာရင်းသွင်းထားပြီး တစ်ပတ်လျှင် စုစုပေါင်းဒေါင်းလုဒ်ပေါင်း သုံးသန်းကျော်ရှိသည်။

pac-resolver တွင် မှီခိုနေရသော အပလီကေးရှင်းတစ်ခုသည် WPAD ပရောက်စီ အလိုအလျောက်ဖွဲ့စည်းမှု ပရိုတိုကောကို ပံ့ပိုးပေးသည့် စနစ်မှ ပံ့ပိုးပေးသည့် PAC ဖိုင်ကို တင်ပါက၊ ထို့နောက် ဒေသတွင်း ကွန်ရက်သို့ ဝင်ရောက်ခွင့်ရှိသည့် တိုက်ခိုက်သူများသည် အန္တရာယ်ရှိသော PAC ဖိုင်များကို ထည့်သွင်းရန် DHCP မှတစ်ဆင့် ပရောက်စီဆက်တင်များ ဖြန့်ဖြူးမှုကို အသုံးပြုနိုင်သည်။

source: opennet.ru

မှတ်ချက် Add