Pac-resolver NPM தொகுப்பு, வாரத்திற்கு 3 மில்லியனுக்கும் அதிகமான பதிவிறக்கங்களைக் கொண்டுள்ளது, இது பாதிப்பை (CVE-2021-23406) கொண்டுள்ளது, இது Node.js திட்டங்களிலிருந்து HTTP கோரிக்கைகளை அனுப்பும் போது அதன் JavaScript குறியீட்டை பயன்பாட்டின் சூழலில் செயல்படுத்த அனுமதிக்கிறது. ப்ராக்ஸி சர்வர் தானியங்கு கட்டமைப்பு செயல்பாட்டை ஆதரிக்கிறது.
தானியங்கி ப்ராக்ஸி உள்ளமைவு ஸ்கிரிப்டை உள்ளடக்கிய PAC கோப்புகளை pac-resolver தொகுப்பு பாகுபடுத்துகிறது. பிஏசி கோப்பில் FindProxyForURL செயல்பாட்டுடன் வழக்கமான ஜாவாஸ்கிரிப்ட் குறியீடு உள்ளது, இது ஹோஸ்ட் மற்றும் கோரப்பட்ட URL ஐப் பொறுத்து ப்ராக்ஸியைத் தேர்ந்தெடுப்பதற்கான தர்க்கத்தை வரையறுக்கிறது. பாதிப்பின் சாராம்சம் என்னவென்றால், இந்த ஜாவாஸ்கிரிப்ட் குறியீட்டை பேக்-ரிசல்வரில் இயக்க, Node.js இல் வழங்கப்பட்ட VM API பயன்படுத்தப்பட்டது, இது V8 இன்ஜினின் வேறுபட்ட சூழலில் JavaScript குறியீட்டை இயக்க உங்களை அனுமதிக்கிறது.
குறிப்பிட்ட API ஆனது, நம்பத்தகாத குறியீட்டை இயக்கும் நோக்கத்தில் இல்லை என ஆவணத்தில் வெளிப்படையாகக் குறிக்கப்பட்டுள்ளது, ஏனெனில் அது இயக்கப்படும் குறியீட்டின் முழுமையான தனிமைப்படுத்தலை வழங்காது மற்றும் அசல் சூழலை அணுக அனுமதிக்கிறது. pac-resolver 5.0.0 இல் சிக்கல் தீர்க்கப்பட்டது, இது vm2 நூலகத்தைப் பயன்படுத்த நகர்த்தப்பட்டது, இது நம்பத்தகாத குறியீட்டை இயக்குவதற்கு ஏற்ற உயர் மட்ட தனிமைப்படுத்தலை வழங்குகிறது.
Pac-resolver இன் பாதிப்படையக்கூடிய பதிப்பைப் பயன்படுத்தும் போது, பிரத்யேகமாக வடிவமைக்கப்பட்ட PAC கோப்பைப் பரிமாற்றம் செய்வதன் மூலம் தாக்குபவர், Node.jsஐப் பயன்படுத்தி ஒரு திட்டத்தின் குறியீட்டின் பின்னணியில் தனது JavaScript குறியீட்டை செயல்படுத்த முடியும், இந்தத் திட்டம் சார்புகளைக் கொண்ட நூலகங்களைப் பயன்படுத்தினால். பேக்-தீர்வோடு. பிரச்சனைக்குரிய நூலகங்களில் மிகவும் பிரபலமானது Proxy-Agent ஆகும், இது urllib, aws-cdk, mailgun.js மற்றும் firebase-tools உட்பட 360 திட்டங்களின் சார்புடையதாக பட்டியலிடப்பட்டுள்ளது, மொத்தம் வாரத்திற்கு மூன்று மில்லியனுக்கும் அதிகமான பதிவிறக்கங்கள்.
WPAD ப்ராக்ஸி தானியங்கி உள்ளமைவு நெறிமுறையை ஆதரிக்கும் அமைப்பால் வழங்கப்பட்ட PAC கோப்பை பேக்-தீர்வைச் சார்ந்திருக்கும் பயன்பாடு ஏற்றினால், தீங்கிழைக்கும் PAC கோப்புகளைச் செருகுவதற்கு உள்ளூர் நெட்வொர்க்கிற்கான அணுகல் உள்ள தாக்குபவர்கள் DHCP வழியாக ப்ராக்ஸி அமைப்புகளின் விநியோகத்தைப் பயன்படுத்தலாம்.
ஆதாரம்: opennet.ru