සතියකට බාගැනීම් මිලියන 3කට වඩා ඇති pac-resolver NPM පැකේජයට අවදානමක් ඇත (CVE-2021-23406) එය Node.js ව්යාපෘතිවලින් HTTP ඉල්ලීම් යැවීමේදී යෙදුමේ සන්දර්භය තුළ එහි JavaScript කේතය ක්රියාත්මක කිරීමට ඉඩ සලසයි. ප්රොක්සි සේවාදායකය ස්වයංක්රීය වින්යාස කිරීමේ කාර්යයට සහය දක්වයි.
Pac-resolver පැකේජය ස්වයංක්රීය ප්රොක්සි වින්යාස පිටපතක් ඇතුළත් PAC ගොනු විග්රහ කරයි. PAC ගොනුවෙහි FindProxyForURL ශ්රිතයක් සහිත නිත්ය JavaScript කේතය අඩංගු වන අතර එය සත්කාරක සහ ඉල්ලූ URL මත පදනම්ව ප්රොක්සියක් තෝරාගැනීමේ තර්කය නිර්වචනය කරයි. අවදානමේ සාරය නම්, මෙම JavaScript කේතය pac-resolver තුළ ක්රියාත්මක කිරීම සඳහා, Node.js හි සපයා ඇති VM API භාවිතා කර ඇති අතර, එමඟින් ඔබට V8 එන්ජිමේ වෙනත් සන්දර්භයක් තුළ JavaScript කේතය ක්රියාත්මක කිරීමට ඉඩ සලසයි.
ක්රියාත්මක වන කේතය සම්පූර්ණයෙන් හුදකලා කිරීම ලබා නොදෙන අතර මුල් සන්දර්භය වෙත ප්රවේශ වීමට ඉඩ ලබා දෙන බැවින්, නිශ්චිත API විශ්වාස නොකළ කේතය ධාවනය කිරීමට අදහස් නොකරන ලෙස ලේඛනගත කිරීමෙහි පැහැදිලිව සලකුණු කර ඇත. විශ්වාස නොකළ කේතය ධාවනය කිරීමට සුදුසු ඉහළ මට්ටමේ හුදකලාවක් සපයන vm5.0.0 පුස්තකාලය භාවිතා කිරීමට ගෙන යන ලද, pac-resolver 2 හි ගැටළුව විසඳා ඇත.
Pac-resolver හි අවදානමට ලක්විය හැකි අනුවාදයක් භාවිතා කරන විට, විශේෂයෙන් නිර්මාණය කරන ලද PAC ගොනුවක් සම්ප්රේෂණය කිරීම හරහා ප්රහාරකයෙකුට Node.js භාවිතා කරන ව්යාපෘතියක කේතයේ සන්දර්භය තුළ ඔහුගේ ජාවාස්ක්රිප්ට් කේතය ක්රියාත්මක කළ හැකිය, මෙම ව්යාපෘතිය පරායත්තතා ඇති පුස්තකාල භාවිතා කරන්නේ නම්. pac-resolver සමඟ. ගැටලුකාරී පුස්තකාල අතරින් වඩාත් ජනප්රිය වන්නේ Proxy-Agent, urllib, aws-cdk, mailgun.js සහ firebase-tools ඇතුළුව ව්යාපෘති 360 ක් මත යැපීමක් ලෙස ලැයිස්තුගත කර ඇති අතර, සතියකට බාගත කිරීම් මිලියන තුනකට වඩා වැඩි වේ.
Pac-resolver මත පරායත්තතා ඇති යෙදුමක් WPAD ප්රොක්සි ස්වයංක්රීය වින්යාස ප්රොටෝකෝලය සඳහා සහය දක්වන පද්ධතියක් මඟින් සපයන ලද PAC ගොනුවක් පූරණය කරන්නේ නම්, දේශීය ජාලයට ප්රවේශය ඇති ප්රහාරකයන්ට අනිෂ්ට PAC ගොනු ඇතුළු කිරීමට DHCP හරහා ප්රොක්සි සැකසුම් බෙදා හැරීම භාවිතා කළ හැක.
මූලාශ්රය: opennet.ru