Dit NPM-pakket met miljoenen wekelijkse downloads heeft een fout bij het uitvoeren van externe code verholpen

Een zeer populair NPM-pakket genaamd ‘pac-solutionver’ voor de JavaScript-programmeertaal is gerepareerd om een ​​fout bij het uitvoeren van externe code op te lossen die van invloed kan zijn op veel Node.js-toepassingen.

bug in oplossen De afhankelijkheid werd gevonden door ontwikkelaar Tim Perry, die opmerkte dat het een aanvaller op een lokaal netwerk in staat had kunnen stellen om op afstand kwaadaardige code in het Node.js-proces uit te voeren wanneer een opstartprogramma probeerde een HTTP-verzoek te verzenden. Note.js is de algemene JavaScript-runtime voor het uitvoeren van JavaScript-webapplicaties.

zie ook

Beste VPN-services

VPN’s zijn essentieel om online veilig te blijven, vooral voor externe werknemers en bedrijven. Hier zijn uw topkeuzes voor VPN-serviceproviders en hoe u snel aan de slag kunt.

Lees verder

Dit pakket wordt gebruikt om een ​​PAC-bestand in Pac-Proxy-Agent te ondersteunen, dat op zijn beurt wordt gebruikt in Proxy-Agent, dat vervolgens overal wordt gebruikt als het standaard pakket voor automatische HTTP-proxydetectie en -configuratie in Node.js legt uit Perry.

Ik snap het: Ontwikkelaars, DevOps of cyberbeveiliging? Naar welk technisch toptalent zijn werkgevers op dit moment op zoek?

PAC of “Proxy-Auto Config” verwijst naar PAC-bestanden die in JavaScript zijn geschreven om complexe proxyregels te distribueren die een HTTP-client instrueren om de proxy voor een specifieke hostnaam te gebruiken, merkt Berry op, eraan toevoegend dat deze veel worden gebruikt in bedrijfssystemen. Ze worden gedistribueerd vanaf lokale netwerkservers en van externe servers, en zijn vaak onveilig via HTTP in plaats van HTTP’s.

Het is een wijdverbreid probleem omdat proxy wordt gebruikt in de Amazon Web Services Cloud Development Kit (CDK), Mailgun SDK en Google Firebase CLI.

READ  Google Drive downloadt geen bestanden nadat ze zijn gecomprimeerd

Het pakket krijgt drie miljoen downloads per week en bevat 285.000 gecertificeerde terugkopen op GitHub, Perry’s blognotities.

De kwetsbaarheid is onlangs verholpen in versie 5.0.0 van al deze pakketten en is gemarkeerd als CVE-2021-23406 Nadat het vorige week bekend werd gemaakt.

Dit betekent dat veel ontwikkelaars met Node.js-applicaties waarschijnlijk worden getroffen en moeten updaten naar versie 5.0.

Het is van invloed op iedereen die vóór versie 5.0 op Pac-Resolver vertrouwde in hun Node.js-toepassing. Het is van invloed op deze apps als de ontwikkelaars een van de drie configuraties uitvoeren:

  • Gebruik PAC-bestanden expliciet om de proxy te configureren
  • Lees en gebruik de OS-proxyconfiguratie in Node.js, op WPAD-compatibele systemen
  • Gebruik proxyconfiguratie (env-vars, configuratiebestanden, externe configuratie-eindpunten, opdrachtregelargumenten) van elke andere bron die u niet 100% vertrouwt om vrijelijk code op uw computer uit te voeren

In elk van deze gevallen kan een aanvaller (door een kwaadaardige PAC-URL te configureren, PAC-bestandsverzoeken te onderscheppen met een kwaadaardig bestand of WPAD te gebruiken) willekeurige code op uw computer uitvoeren telkens wanneer u een HTTP-verzoek verzendt met behulp van de proxyconfiguratie. Dit is het ’, merkt Berry op.

Written By
More from Eda Greene

Apple brengt iOS 14.5 RC en iPadOS 14.5 RC uit voor ontwikkelaars [Download]

Apple heeft iOS 14.5 RC en iPadOS 14.5 RC aan ontwikkelaars uitgebracht...
Read More

Een reactie achterlaten

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *