Phukusi la node-netmask NPM, lomwe limatsitsa pafupifupi 3 miliyoni pa sabata ndipo limagwiritsidwa ntchito ngati kudalira ma projekiti opitilira 270 pa GitHub, lili pachiwopsezo (CVE-2021-28918) yomwe imalola kuti idutse macheke omwe amagwiritsa ntchito netmask. kudziwa kupezeka kwa maadiresi osiyanasiyana kapena kusefa. Nkhaniyi idakhazikitsidwa pakutulutsidwa kwa node-netmask 2.0.0.
Chiwopsezocho chimapangitsa kuti zitheke kuchitira adilesi yakunja ya IP ngati adilesi yochokera pa netiweki yamkati ndi mosemphanitsa, komanso ndi malingaliro ena ogwiritsira ntchito node-netmask module mukugwiritsa ntchito SSRF (Server-side application forgery), RFI. (Remote File Inclusion) ndi LFI (Local File Inclusion) kuukira) kuti apeze zothandizira pa intaneti yamkati ndikuphatikiza mafayilo akunja kapena am'deralo muzitsulo zophera. Vuto ndiloti malinga ndi zomwe zafotokozedwera, zingwe zama adilesi kuyambira ndi zero ziyenera kutanthauziridwa ngati manambala octal, koma gawo la node-netmask silimaganizira izi ndipo limawatenga ngati manambala a decimal.
Mwachitsanzo, wowukira atha kupempha zinthu zakumaloko pofotokoza mtengo wa "0177.0.0.1", womwe umafanana ndi "127.0.0.1", koma gawo la "node-netmask" litaya chinthucho, ndikuchita 0177.0.0.1β³ ngati " 177.0.0.1", yomwe mukugwiritsa ntchito poyesa malamulo ofikira, sikutheka kudziwa kuti ndi ndani ndi "127.0.0.1". Mofananamo, wowukira akhoza kufotokoza adilesi "0127.0.0.1", yomwe iyenera kukhala yofanana ndi "87.0.0.1", koma idzatengedwa ngati "127.0.0.1" mu gawo la "node-netmask". Momwemonso, mutha kubera cheke kuti mupeze maadiresi a intranet potchula zinthu monga "012.0.0.1" (zofanana ndi "10.0.0.1", koma zidzasinthidwa ngati 12.0.0.1 panthawi yowunika).
Ofufuza omwe adazindikira vutoli amatcha vutoli kuti ndi lowopsa ndipo amapereka zochitika zingapo zowukira, koma zambiri zimawoneka ngati zongopeka. Mwachitsanzo, imakamba za kuthekera kolimbana ndi pulogalamu ya Node.js yomwe imakhazikitsa maulumikizidwe akunja kuti apemphe thandizo potengera magawo kapena deta ya pempho lolowera, koma kugwiritsa ntchito sikunatchulidwe mwachindunji kapena tsatanetsatane. Ngakhale mutapeza mapulogalamu omwe amanyamula zothandizira kutengera ma adilesi a IP omwe adalowetsedwa, sizikudziwika bwino momwe chiwopsezocho chingagwiritsidwe ntchito pochita popanda kulumikizana ndi netiweki yakomweko kapena popanda kuwongolera ma adilesi a IP a "galasi".
Ofufuzawa amangoganiza kuti eni ake a 87.0.0.1 (Telecom Italia) ndi 0177.0.0.1 (Brasil Telecom) amatha kudutsa malire ofikira ku 127.0.0.1. Chochitika chowoneka bwino ndikugwiritsa ntchito chiwopsezo cholambalala mindandanda yamitundu yosiyanasiyana ya mapulogalamu. Nkhaniyi itha kugwiritsidwanso ntchito pogawana tanthauzo la magawo a intranet mu gawo la NPM "private-ip".
Source: opennet.ru