node-ipc NPM ပက်ကေ့ဂျ် (CVE-2022-23812) တွင် အန္တရာယ်ရှိသော အပြောင်းအလဲတစ်ခုအား “❤️” စာလုံးဖြင့် အစားထိုးထားသည့် ဖိုင်အားလုံး၏ 25% ဖြစ်နိုင်ခြေရှိသော ဖြစ်နိုင်ခြေကို တွေ့ရှိခဲ့သည်။ ရုရှား သို့မဟုတ် ဘီလာရုစ်နိုင်ငံမှ IP လိပ်စာများပါသည့် စနစ်များတွင်သာ အန္တရာယ်ရှိသောကုဒ်ကို စတင်အသုံးပြုနိုင်ပါသည်။ node-ipc ပက်ကေ့ဂျ်သည် တစ်ပတ်လျှင် ဒေါင်းလုဒ်တစ်သန်းခန့်ရှိပြီး vue-cli အပါအဝင် ပက်ကေ့ဂျ် 354 ခုအပေါ် မှီခိုမှုအဖြစ် အသုံးပြုပါသည်။ မှီခိုမှုအဖြစ် node-ipc ပါသည့် ပရောဂျက်များအားလုံးသည်လည်း ပြဿနာကြောင့် ထိခိုက်ပါသည်။
အန္တရာယ်ရှိသောကုဒ်ကို node-ipc 10.1.1 နှင့် 10.1.2 ထုတ်ဝေမှုများ၏ တစ်စိတ်တစ်ပိုင်းအနေဖြင့် NPM သိုလှောင်မှုသို့ ပို့စ်တင်ထားသည်။ ပရောဂျက်၏စာရေးဆရာကိုယ်စား လွန်ခဲ့သည့် 11 ရက်က ပရောဂျက်၏ Git repository တွင် အန္တရာယ်ရှိသောပြောင်းလဲမှုတစ်ခု ပို့စ်တင်ခဲ့သည်။ api.ipgeolocation.io ဝန်ဆောင်မှုကိုခေါ်ဆိုခြင်းဖြင့် နိုင်ငံကို ကုဒ်တွင် သတ်မှတ်ခဲ့သည်။ အန္တရာယ်ရှိသော မြှုပ်သွင်းမှုမှ ipgeolocation.io API သို့ ဝင်ရောက်ခဲ့သည့် သော့ကို ယခုအခါ ရုပ်သိမ်းလိုက်ပြီဖြစ်သည်။
သံသယဖြစ်ဖွယ်ကုဒ်များ၏အသွင်အပြင်နှင့်ပတ်သက်ပြီးသတိပေးချက်တွင်မှတ်ချက်များတွင်၊ ပြောင်းလဲမှုသည် ငြိမ်းချမ်းရေးတောင်းဆိုသည့်စာတိုကိုပြသသည့် desktop တွင် ဖိုင်တစ်ခုထည့်ခြင်းနှင့်ပတ်သက်ပြီး ပရောဂျက်ရေးသားသူက ဖော်ပြခဲ့သည်။ အမှန်မှာ၊ ကုဒ်သည် ကြုံတွေ့ရသည့် ဖိုင်အားလုံးကို ထပ်ရေးရန် ကြိုးပမ်းမှုဖြင့် လမ်းညွှန်များကို ထပ်ခါတလဲလဲ ရှာဖွေသည်။
Node-ipc 11.0.0 နှင့် 11.1.0 တို့ကို နောက်ပိုင်းတွင် NPM repository တွင် လွှင့်တင်ခဲ့ပြီး ၎င်းသည် ပြင်ပမှီခိုမှုဖြစ်သော "peacenotwar" ဖြင့် ပြင်ပမှီခိုမှုဖြင့် အစားထိုးထားသည့် NPM repository သို့ ပို့စ်တင်ခဲ့ပြီး ထုပ်ပိုးထိန်းသိမ်းသူများ ပါဝင်လိုသော ကမ်းလှမ်းမှုများ၊ ဆန္ဒပြပွဲတွင် ပါဝင်ရန်။ Peacenotwar အထုပ်သည် ငြိမ်းချမ်းရေးနှင့်ပတ်သက်သော မက်ဆေ့ချ်ကိုသာ ဖော်ပြသည်ဟု ဖော်ပြထားသော်လည်း စာရေးဆရာမှ လုပ်ဆောင်ထားပြီးဖြစ်သည့် လုပ်ဆောင်ချက်များကို ထည့်သွင်းစဉ်းစားပါက ပက်ကေ့ခ်ျ၏ နောက်ထပ်အကြောင်းအရာများသည် မှန်းဆ၍မရသည့်အပြင် အဖျက်အဆီးအတားအဆီးများ မရှိခြင်းကိုလည်း အာမခံမည်မဟုတ်ပေ။
တစ်ချိန်တည်းမှာပင်၊ Vue.js ပရောဂျက်မှ အသုံးပြုသည့် တည်ငြိမ်သော node-ipc 9.2.2 ဌာနခွဲသို့ အပ်ဒိတ်တစ်ခု ထွက်လာခဲ့သည်။ ထုတ်ဝေမှုအသစ်တွင်၊ Peacenotwar အပြင်၊ အရောင်များပက်ကေ့ချ်ကိုလည်း မှီခိုသူများစာရင်းတွင် ထည့်သွင်းခဲ့သည်၊ စာရေးဆရာသည် ဇန်နဝါရီလတွင် အဖျက်သဘောဆောင်သောပြောင်းလဲမှုများကို ကုဒ်သို့ပေါင်းစပ်ထားသည်။ အသစ်ထွက်ရှိမှုအတွက် အရင်းအမြစ်လိုင်စင်ကို MIT မှ DBAD သို့ ပြောင်းထားသည်။
စာရေးသူ၏ နောက်ထပ်လုပ်ဆောင်ချက်များသည် ကြိုတင်ခန့်မှန်း၍မရနိုင်သောကြောင့်၊ ဗားရှင်း 9.2.1 တွင် မှီခိုမှုကို ပြင်ဆင်ရန် node-ipc အသုံးပြုသူများကို အကြံပြုထားသည်။ ပက်ကေ့ဂျ် 41 ခုကို ထိန်းသိမ်းထားသည့် တူညီသောစာရေးဆရာက အခြားသော တိုးတက်မှုများအတွက် ဗားရှင်းများကို ပြင်ဆင်ရန်လည်း အကြံပြုထားသည်။ တူညီသောရေးသားသူမှ ထိန်းသိမ်းထားသော ပက်ကေ့ဂျ်အချို့ (js-queue၊ easy-stack၊ js-message၊ event-pubsub) သည် တစ်ပတ်လျှင် ဒေါင်းလုဒ်တစ်သန်းခန့်ရှိသည်။
ထပ်လောင်း- အပလီကေးရှင်းများ၏ တိုက်ရိုက်လုပ်ဆောင်နိုင်စွမ်းနှင့် ဆက်စပ်မှုမရှိသော အဖွင့်ပက်ကေ့ခ်ျများတွင် လုပ်ဆောင်ချက်များကို ထည့်သွင်းရန် အခြားကြိုးပမ်းမှုများကို မှတ်တမ်းတင်ထားပြီး IP လိပ်စာများ သို့မဟုတ် စနစ်ဒေသနှင့် ချိတ်ဆက်ထားသည်။ ဤပြောင်းလဲမှုများ၏ အန္တရာယ်အကင်းဆုံးဖြစ်သော (es5-ext၊ rete၊ PHP ရေးစပ်သူ၊ PHPUnit၊ Redis Desktop Manager၊ Awesome Prometheus သတိပေးချက်များ၊ verdaccio၊ filestash) သည် ရုရှားနှင့် Belarus မှ သုံးစွဲသူများအတွက် စစ်ပွဲအဆုံးသတ်ရန် ခေါ်ဆိုမှုများကို ပြသခြင်းအထိ ပြုတ်ကျသွားသည်။ တစ်ချိန်တည်းမှာပင်၊ ပိုမိုအန္တရာယ်များသော သရုပ်ဖော်မှုများကိုလည်း ဖော်ထုတ်နိုင်သည်၊ ဥပမာ၊ AWS Terraform modules packages များတွင် ကုဒ်ဝှက်ကိရိယာကို ထည့်သွင်းပြီး လိုင်စင်တွင် နိုင်ငံရေးကန့်သတ်ချက်များကို ထည့်သွင်းခဲ့သည်။ ESP8266 နှင့် ESP32 စက်ပစ္စည်းများအတွက် Tasmota firmware သည် စက်များ၏လည်ပတ်မှုကို ပိတ်ဆို့နိုင်သည့် built-in bookmark တစ်ခုပါရှိသည်။ ထိုလုပ်ဆောင်ချက်သည် open source software တွင် ယုံကြည်မှုကို ဆိုးရွားစွာ ထိခိုက်စေနိုင်သည်ဟု ယုံကြည်ပါသည်။
source: opennet.ru