ProHoster > Blog > internet yangiliklari > Haftada 3 million yuklab olish bilan pac-resolver NPM paketidagi zaiflik

Haftada 3 million yuklab olish bilan pac-resolver NPM paketidagi zaiflik

Haftasiga 3 milliondan ortiq yuklab olinadigan pac-resolver NPM paketi zaiflikka ega (CVE-2021-23406), bu Node.js loyihalaridan HTTP soʻrovlarini yuborishda uning JavaScript kodini ilova kontekstida bajarishga imkon beradi. proksi-serverning avtomatik konfiguratsiyasi funksiyasini qo'llab-quvvatlash.

Pac-resolver paketi avtomatik proksi konfiguratsiya skriptini o'z ichiga olgan PAC fayllarini tahlil qiladi. PAC fayli xost va soʻralgan URL manziliga qarab proksi-serverni tanlash mantiqini belgilaydigan FindProxyForURL funksiyasiga ega oddiy JavaScript kodini oʻz ichiga oladi. Zaiflikning mohiyati shundan iboratki, ushbu JavaScript kodini pac-resolverda bajarish uchun Node.js da taqdim etilgan VM API ishlatildi, bu sizga JavaScript kodini V8 dvigatelining boshqa kontekstida bajarish imkonini beradi.

Belgilangan API hujjatda ishonchsiz kodni ishga tushirish uchun mo'ljallanmagan deb aniq belgilangan, chunki u ishga tushirilayotgan kodni to'liq izolyatsiyasini ta'minlamaydi va asl kontekstga kirish imkonini beradi. Muammo pac-resolver 5.0.0 da hal qilindi, u vm2 kutubxonasidan foydalanishga o'tkazildi, bu ishonchsiz kodni ishlatish uchun mos keladigan yuqori darajadagi izolyatsiyani ta'minlaydi.

Haftada 3 million yuklab olish bilan pac-resolver NPM paketidagi zaiflik

Pac-resolverning zaif versiyasidan foydalanganda, tajovuzkor maxsus ishlab chiqilgan PAC faylini uzatish orqali o'zining JavaScript kodini Node.js yordamida loyiha kodi kontekstida bajarishi mumkin, agar bu loyihada bog'liqliklari bo'lgan kutubxonalardan foydalansa. pac-resolver bilan. Muammoli kutubxonalarning eng mashhuri Proksi-Agent bo'lib, u 360 ta loyihaga, jumladan, urllib, aws-cdk, mailgun.js va firebase-toolsga bog'liq bo'lib, haftasiga uch milliondan ortiq yuklab olinadi.

Agar pac-resolverga bog'liq bo'lgan dastur WPAD proksi-serverining avtomatik konfiguratsiya protokolini qo'llab-quvvatlaydigan tizim tomonidan taqdim etilgan PAC faylini yuklasa, mahalliy tarmoqqa kirish huquqiga ega bo'lgan tajovuzkorlar zararli PAC fayllarini kiritish uchun DHCP orqali proksi sozlamalarini tarqatishdan foydalanishi mumkin.

Manba: opennet.ru

a Izoh qo'shish