Pac-resolver NPM package, eyiti o ni diẹ sii ju awọn igbasilẹ miliọnu 3 fun ọsẹ kan, ni ailagbara kan (CVE-2021-23406) ti o fun laaye koodu JavaScript rẹ lati ṣiṣẹ ni agbegbe ti ohun elo nigbati fifiranṣẹ awọn ibeere HTTP lati awọn iṣẹ akanṣe Node.js atilẹyin iṣẹ atunto aifọwọyi olupin aṣoju.
Pac-resolver package ntọpa awọn faili PAC ti o pẹlu iwe afọwọkọ atunto aṣoju adaṣe kan. Faili PAC ni koodu JavaScript deede pẹlu iṣẹ FindProxyForURL kan ti o ṣe asọye ọgbọn fun yiyan aṣoju kan ti o da lori agbalejo ati URL ti o beere. Ohun pataki ti ailagbara naa ni pe lati ṣiṣẹ koodu JavaScript yii ni pac-resolver, VM API ti a pese ni Node.js ni a lo, eyiti o fun ọ laaye lati ṣiṣẹ koodu JavaScript ni ipo oriṣiriṣi ti ẹrọ V8.
API pàtó kan ti samisi ni kedere ninu iwe-ipamọ bi ko ṣe pinnu fun ṣiṣe koodu ti ko ni igbẹkẹle, nitori ko pese ipinya pipe ti koodu ti n ṣiṣẹ ati gba aaye si ipo atilẹba. Ọrọ naa ti ni idojukọ ni pac-resolver 5.0.0, eyiti o ti gbe lati lo ile-ikawe vm2, eyiti o pese ipele ipinya ti o ga julọ ti o dara fun ṣiṣe koodu ti ko ni igbẹkẹle.
Nigbati o ba nlo ẹya ti o ni ipalara ti pac-resolver, ikọlu nipasẹ gbigbe faili PAC ti a ṣe apẹrẹ pataki le ṣe aṣeyọri ipaniyan ti koodu JavaScript rẹ ni aaye ti koodu ti iṣẹ akanṣe nipa lilo Node.js, ti iṣẹ akanṣe yii ba lo awọn ile-ikawe ti o ni awọn igbẹkẹle. pẹlu pac-opinnu. Gbajumo julọ ti awọn ile-ikawe iṣoro jẹ aṣoju-Aṣoju, ti a ṣe atokọ bi igbẹkẹle lori awọn iṣẹ akanṣe 360, pẹlu urllib, aws-cdk, mailgun.js ati awọn irinṣẹ firebase, lapapọ diẹ sii ju awọn igbasilẹ miliọnu mẹta lọ ni ọsẹ kan.
Ti ohun elo kan ti o ni awọn ti o gbẹkẹle lori pac-resolver gbe faili PAC kan ti a pese nipasẹ eto kan ti o ṣe atilẹyin ilana iṣeto aṣoju WPAD aṣoju aifọwọyi, lẹhinna awọn ikọlu pẹlu iraye si nẹtiwọọki agbegbe le lo pinpin awọn eto aṣoju nipasẹ DHCP lati fi awọn faili PAC irira sii.
orisun: opennet.ru