Phetoho e mpe e ile ea bonoa ka har'a sephutheloana sa node-ipc NPM (CVE-2022-23812), ka monyetla oa 25% oa hore litaba tsa lifaele tsohle tse nang le phihlello ea ho ngola li nkeloe sebaka ke sebapali sa "❤️". Khoutu e mpe e kengoa tšebetsong feela ha e qala ho sistimi e nang le liaterese tsa IP tse tsoang Russia kapa Belarus. Sephutheloana sa node-ipc se na le downloads e ka bang milione ka beke mme se sebelisoa e le ts'epo ea liphutheloana tse 354, ho kenyeletsoa vue-cli. Merero eohle e nang le node-ipc joalo ka batšetlehi le eona e angoa ke bothata.
Khoutu e mpe e rometsoe sebakeng sa polokelo ea NPM e le karolo ea li-node-ipc 10.1.1 le 10.1.2 e lokolloa. Phetoho e mpe e ile ea romelloa polokelong ea projeke ea Git molemong oa sengoli sa morero matsatsing a 11 a fetileng. Naha e ile ea khethoa ka khoutu ka ho letsetsa tšebeletso ea api.ipgeolocation.io. Senotlolo se neng se fihletsoe ho ipgeolocation.io API ho tsoa ho embed e mpe e se e hlakotsoe.
Litlhalosong tsa temoso mabapi le ponahalo ea khoutu e belaetsang, mongoli oa morero o boletse hore phetoho e tšoana le ho eketsa faele komporong e bonts'ang molaetsa o batlang khotso. Ebile, khoutu e ile ea etsa patlisiso e pheta-phetoang ea li-directory ka ho leka ho hlakola lifaele tsohle tse kopaneng.
Litokollo tsa node-ipc 11.0.0 le 11.1.0 hamorao li ile tsa romelloa polokelong ea NPM, e ileng ea nkela sebaka sa khoutu e khopo e hahiloeng ka ho itšetleha ka ntle, "peacenotwar," e laoloang ke mongoli a le mong 'me e fanoa bakeng sa ho kenyelletsoa ke bahlokomeli ba liphutheloana ba lakatsang. ho kenela boipelaetso. Ho boleloa hore sephutheloana sa peacenotwar se bontša feela molaetsa o mabapi le khotso, empa ho nahanela liketso tse seng li ntse li nkuoe ke mongoli, litaba tse ling tsa sephutheloana li ke ke tsa lebelloa 'me ho ba sieo ha liphetoho tse senyang ha ho tiisetsoe.
Ka nako e ts'oanang, ntlafatso ea lekala le tsitsitseng la node-ipc 9.2.2, le sebelisoang ke morero oa Vue.js, le ile la lokolloa. Phatlalatsong e ncha, ho phaella ho peacenotwar, sephutheloana sa mebala se ile sa boela sa kenngoa lethathamong la batho ba itšetlehileng ka bona, mongoli oa eona o kopantsoeng le liphetoho tse senyang khoutu ka January. Laesense ea mohloli bakeng sa tokollo e ncha e fetotsoe ho tloha MIT ho ea ho DBAD.
Kaha liketso tse ling tsa mongoli li ke ke tsa lebelloa, basebelisi ba node-ipc ba khothalletsoa ho lokisa lintho tse itšetlehileng ka mofuta oa 9.2.1. Ho boetse ho khothaletsoa ho lokisa liphetolelo bakeng sa lintlafatso tse ling ke sengoli se tšoanang se bolokileng liphutheloana tse 41. Tse ling tsa liphutheloana tse hlokometsoeng ke sengoli se le seng (js-queue, easy-stack, js-message, event-pubsub) li na le download e ka bang milione ka beke.
Keketso: Liteko tse ling li tlalehiloe ho kenyelletsa liketso ho liphutheloana tse fapaneng tse bulehileng tse sa amaneng le ts'ebetso e tobileng ea lits'ebetso mme li hokahane le liaterese tsa IP kapa sebaka sa sistimi. Liphetoho tse senang kotsi ka ho fetisisa (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) e theohela ho hlahisa mehala ho felisa ntoa bakeng sa basebelisi ba tsoang Russia le Belarus. Ka nako e ts'oanang, lipontšo tse kotsi le ho feta li tsejoa, ka mohlala, encryptor e kenyelelitsoe ho liphutheloana tsa AWS Terraform modules le lithibelo tsa lipolotiki li ile tsa kenngoa ka laesense. Firmware ea Tasmota bakeng sa lisebelisoa tsa ESP8266 le ESP32 e na le bookmark e hahelletsoeng e ka thibelang ts'ebetso ea lisebelisoa. Ho lumeloa hore ts'ebetso e joalo e ka senya ts'epo ho software e bulehileng ea mohloli.
Source: opennet.ru