GitHub ti ṣafihan awọn iṣẹlẹ meji ninu awọn amayederun ibi ipamọ package NPM rẹ. Ni Oṣu kọkanla ọjọ 2, awọn oniwadi aabo ti ẹnikẹta (Kajetan Grzybowski ati Maciej Piechota), gẹgẹ bi apakan ti eto Bug Bounty, royin wiwa ailagbara kan ni ibi ipamọ NPM ti o fun ọ laaye lati ṣe atẹjade ẹya tuntun ti eyikeyi package nipa lilo akọọlẹ rẹ, eyi ti a ko fun ni aṣẹ lati ṣe iru awọn imudojuiwọn.
Ailagbara naa ṣẹlẹ nipasẹ awọn sọwedowo igbanilaaye ti ko tọ ni koodu awọn iṣẹ microservice ti o ṣe ilana awọn ibeere si NPM. Iṣẹ igbanilaaye ṣe awọn sọwedowo igbanilaaye package ti o da lori data ti o kọja ninu ibeere naa, ṣugbọn iṣẹ miiran ti o gbe imudojuiwọn si ibi-ipamọ pinnu package lati gbejade da lori akoonu metadata ti package ti o gbejade. Nitorinaa, ikọlu le beere fun atẹjade imudojuiwọn fun package rẹ, eyiti o ni iwọle si, ṣugbọn pato ninu package funrararẹ alaye nipa package miiran, eyiti yoo ni imudojuiwọn nikẹhin.
Ọrọ naa ti wa titi awọn wakati 6 lẹhin ailagbara naa ti royin, ṣugbọn ailagbara naa wa ni NPM gun ju ideri awọn iforukọsilẹ telemetry lọ. GitHub sọ pe ko si awọn itọpa ti awọn ikọlu nipa lilo ailagbara yii lati Oṣu Kẹsan ọdun 2020, ṣugbọn ko si iṣeduro pe iṣoro naa ko ti lo tẹlẹ.
Iṣẹlẹ keji waye ni Oṣu Kẹwa ọjọ 26. Lakoko iṣẹ imọ-ẹrọ pẹlu ibi ipamọ data ti iṣẹ replicate.npmjs.com, wiwa data ipamọ ninu aaye data ti o wa si awọn ibeere ita ti ṣafihan, ṣafihan alaye nipa awọn orukọ ti awọn idii inu ti a mẹnuba ninu iwe iyipada. Alaye nipa iru awọn orukọ le ṣee lo lati gbe awọn ikọlu igbẹkẹle lori awọn iṣẹ akanṣe inu (ni Kínní, iru ikọlu kan gba laaye koodu lati ṣiṣẹ lori awọn olupin ti PayPal, Microsoft, Apple, Netflix, Uber ati awọn ile-iṣẹ miiran 30).
Ni afikun, nitori nọmba ti o pọ si ti awọn ibi ipamọ ti awọn iṣẹ akanṣe nla ti o jija ati koodu irira ti ni igbega nipasẹ awọn akọọlẹ olupilẹṣẹ ti o bajẹ, GitHub ti pinnu lati ṣafihan ifitonileti ifosiwewe meji-aṣẹ dandan. Iyipada naa yoo lọ si ipa ni mẹẹdogun akọkọ ti 2022 ati pe yoo kan si awọn olutọju ati awọn alabojuto awọn idii ti o wa ninu atokọ olokiki julọ. Ni afikun, o jẹ ijabọ nipa isọdọtun ti awọn amayederun, ninu eyiti ibojuwo adaṣe ati itupalẹ awọn ẹya tuntun ti awọn idii yoo ṣe ifilọlẹ fun wiwa ni kutukutu ti awọn ayipada irira.
Jẹ ki a ranti pe, ni ibamu si iwadi ti a ṣe ni ọdun 2020, nikan 9.27% ti awọn olutọju package lo ijẹrisi ifosiwewe meji lati daabobo iwọle, ati ni 13.37% ti awọn ọran, nigbati o forukọsilẹ awọn akọọlẹ tuntun, awọn olupilẹṣẹ gbiyanju lati tun lo awọn ọrọ igbaniwọle ti o gbogun ti o han ninu mọ ọrọigbaniwọle jo. Lakoko atunyẹwo aabo ọrọ igbaniwọle kan, 12% ti awọn akọọlẹ NPM (13% ti awọn idii) ni a wọle si nitori lilo asọtẹlẹ ati awọn ọrọ igbaniwọle kekere bii “123456.” Lara awọn iṣoro naa ni awọn akọọlẹ olumulo 4 lati Top 20 awọn idii olokiki julọ, awọn akọọlẹ 13 pẹlu awọn idii ti a ṣe igbasilẹ diẹ sii ju awọn akoko miliọnu 50 fun oṣu kan, 40 pẹlu diẹ sii ju awọn igbasilẹ miliọnu mẹwa 10 fun oṣu kan, ati 282 pẹlu diẹ sii ju awọn igbasilẹ miliọnu 1 fun oṣu kan. Ti o ba ṣe akiyesi ikojọpọ awọn modulu pẹlu pq ti awọn igbẹkẹle, adehun ti awọn akọọlẹ ti ko ni igbẹkẹle le ni ipa to 52% ti gbogbo awọn modulu ni NPM.
orisun: opennet.ru