புரோஹோஸ்டர் > Блог > இணைய செய்தி > பேக்-ரிசல்வர் NPM தொகுப்பில் உள்ள பாதிப்பு, வாரத்திற்கு 3 மில்லியன் பதிவிறக்கங்கள்

பேக்-ரிசல்வர் NPM தொகுப்பில் உள்ள பாதிப்பு, வாரத்திற்கு 3 மில்லியன் பதிவிறக்கங்கள்

Pac-resolver NPM தொகுப்பு, வாரத்திற்கு 3 மில்லியனுக்கும் அதிகமான பதிவிறக்கங்களைக் கொண்டுள்ளது, இது பாதிப்பை (CVE-2021-23406) கொண்டுள்ளது, இது Node.js திட்டங்களிலிருந்து HTTP கோரிக்கைகளை அனுப்பும் போது அதன் JavaScript குறியீட்டை பயன்பாட்டின் சூழலில் செயல்படுத்த அனுமதிக்கிறது. ப்ராக்ஸி சர்வர் தானியங்கு கட்டமைப்பு செயல்பாட்டை ஆதரிக்கிறது.

தானியங்கி ப்ராக்ஸி உள்ளமைவு ஸ்கிரிப்டை உள்ளடக்கிய PAC கோப்புகளை pac-resolver தொகுப்பு பாகுபடுத்துகிறது. பிஏசி கோப்பில் FindProxyForURL செயல்பாட்டுடன் வழக்கமான ஜாவாஸ்கிரிப்ட் குறியீடு உள்ளது, இது ஹோஸ்ட் மற்றும் கோரப்பட்ட URL ஐப் பொறுத்து ப்ராக்ஸியைத் தேர்ந்தெடுப்பதற்கான தர்க்கத்தை வரையறுக்கிறது. பாதிப்பின் சாராம்சம் என்னவென்றால், இந்த ஜாவாஸ்கிரிப்ட் குறியீட்டை பேக்-ரிசல்வரில் இயக்க, Node.js இல் வழங்கப்பட்ட VM API பயன்படுத்தப்பட்டது, இது V8 இன்ஜினின் வேறுபட்ட சூழலில் JavaScript குறியீட்டை இயக்க உங்களை அனுமதிக்கிறது.

குறிப்பிட்ட API ஆனது, நம்பத்தகாத குறியீட்டை இயக்கும் நோக்கத்தில் இல்லை என ஆவணத்தில் வெளிப்படையாகக் குறிக்கப்பட்டுள்ளது, ஏனெனில் அது இயக்கப்படும் குறியீட்டின் முழுமையான தனிமைப்படுத்தலை வழங்காது மற்றும் அசல் சூழலை அணுக அனுமதிக்கிறது. pac-resolver 5.0.0 இல் சிக்கல் தீர்க்கப்பட்டது, இது vm2 நூலகத்தைப் பயன்படுத்த நகர்த்தப்பட்டது, இது நம்பத்தகாத குறியீட்டை இயக்குவதற்கு ஏற்ற உயர் மட்ட தனிமைப்படுத்தலை வழங்குகிறது.

பேக்-ரிசல்வர் NPM தொகுப்பில் உள்ள பாதிப்பு, வாரத்திற்கு 3 மில்லியன் பதிவிறக்கங்கள்

Pac-resolver இன் பாதிப்படையக்கூடிய பதிப்பைப் பயன்படுத்தும் போது, ​​பிரத்யேகமாக வடிவமைக்கப்பட்ட PAC கோப்பைப் பரிமாற்றம் செய்வதன் மூலம் தாக்குபவர், Node.jsஐப் பயன்படுத்தி ஒரு திட்டத்தின் குறியீட்டின் பின்னணியில் தனது JavaScript குறியீட்டை செயல்படுத்த முடியும், இந்தத் திட்டம் சார்புகளைக் கொண்ட நூலகங்களைப் பயன்படுத்தினால். பேக்-தீர்வோடு. பிரச்சனைக்குரிய நூலகங்களில் மிகவும் பிரபலமானது Proxy-Agent ஆகும், இது urllib, aws-cdk, mailgun.js மற்றும் firebase-tools உட்பட 360 திட்டங்களின் சார்புடையதாக பட்டியலிடப்பட்டுள்ளது, மொத்தம் வாரத்திற்கு மூன்று மில்லியனுக்கும் அதிகமான பதிவிறக்கங்கள்.

WPAD ப்ராக்ஸி தானியங்கி உள்ளமைவு நெறிமுறையை ஆதரிக்கும் அமைப்பால் வழங்கப்பட்ட PAC கோப்பை பேக்-தீர்வைச் சார்ந்திருக்கும் பயன்பாடு ஏற்றினால், தீங்கிழைக்கும் PAC கோப்புகளைச் செருகுவதற்கு உள்ளூர் நெட்வொர்க்கிற்கான அணுகல் உள்ள தாக்குபவர்கள் DHCP வழியாக ப்ராக்ஸி அமைப்புகளின் விநியோகத்தைப் பயன்படுத்தலாம்.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்