Sephutheloana sa node-netmask NPM, se jarollotsoeng ka limilione tse 3 ka beke mme se sebelisoa e le ts'epo ea merero e fetang likete tse 270 ho GitHub, se na le ts'oaetso (CVE-2021-28918) e e lumellang ho feta licheke tse sebelisang netmask. ho fumana hore na ho etsahala eng bakeng sa ho sebetsana le maemo kapa ho tlhotla. Taba ena e tsitsitsoe ha ho lokolloa node-netmask 2.0.0.
Bofokoli bo etsa hore ho khonehe ho tšoara aterese ea IP e ka ntle e le aterese e tsoang ho marang-rang a ka hare le ka tsela e fapaneng, le ka mokhoa o itseng oa ho sebelisa node-netmask module ho kopo ea ho etsa SSRF (Server-side request forgery), RFI. (Remote File Inclusion) le LFI (Local File Inclusion) litlhaselo ) ho fumana lisebelisoa ho marang-rang a ka hare le ho kenyelletsa lifaele tsa ka ntle kapa tsa lehae ka har'a ketane ea ts'ebetso. Bothata ke hore ho ea ka litlhaloso, litekanyetso tsa mohala oa aterese tse qalang ka zero li lokela ho hlalosoa e le linomoro tsa octal, empa module ea node-netmask ha e nahane ka sena mme e ba nka e le linomoro tsa decimal.
Mohlala, mohlaseli a ka kopa sesebelisoa sa lehae ka ho hlakisa boleng "0177.0.0.1", bo tsamaellanang le "127.0.0.1", empa "node-netmask" module e tla lahla lefeela, ebe e tšoara 0177.0.0.1″ joalo ka " 177.0.0.1", eo ka kopo ha ho hlahlojoa melao ea phihlello, ho ke keng ha khoneha ho tseba hore na ke mang ka "127.0.0.1". Ka mokhoa o ts'oanang, mohlaseli a ka hlakisa aterese "0127.0.0.1", e lokelang ho tšoana le "87.0.0.1", empa e tla tšoaroa e le "127.0.0.1" ho "node-netmask" module. Ka mokhoa o ts'oanang, o ka qhekella cheke bakeng sa phihlello ea liaterese tsa intranet ka ho hlakisa boleng bo kang "012.0.0.1" (e lekanang le "10.0.0.1", empa e tla sebetsoa joalo ka 12.0.0.1 nakong ea cheke).
Bafuputsi ba hlokometseng bothata ba bitsa bothata boo e le koluoa 'me ba fana ka maemo a' maloa a tlhaselo, empa boholo ba bona bo shebahala bo inahanehile. Mohlala, e bua ka monyetla oa ho hlasela ts'ebeliso e thehiloeng ho Node.js e thehang likhokahano tsa kantle ho kopa sesebelisoa se ipapisitseng le li-parameter kapa data ea kopo ea ho kenya, empa kopo ha e na lebitso ka ho toba kapa e qaqileng. Esita le haeba u fumana lits'ebetso tse laolang lisebelisoa tse thehiloeng ho liaterese tsa IP tse kentsoeng, ha ho hlake ka ho feletseng hore na ts'oaetso e ka sebelisoa joang ts'ebetsong ntle le ho hokahanya le marang-rang a sebaka kapa ntle le ho fumana taolo ea liaterese tsa IP tsa "seipone".
Bafuputsi ba nka feela hore beng ba 87.0.0.1 (Telecom Italia) le 0177.0.0.1 (Brasil Telecom) ba khona ho feta thibelo ea ho kena ho 127.0.0.1. Boemo ba 'nete ke ba ho sebelisa monyetla oa ho ba kotsing ea ho feta manane a fapaneng a li-block tsa lits'ebetso. Taba e ka boela ea sebelisoa ho abelaneng tlhaloso ea mabala a intranet mojulung oa NPM "private-ip".
Source: opennet.ru