Een zeer populair NPM-pakket genaamd ‘pac-solutionver’ voor de JavaScript-programmeertaal is gerepareerd om een fout bij het uitvoeren van externe code op te lossen die van invloed kan zijn op veel Node.js-toepassingen.
bug in oplossen De afhankelijkheid werd gevonden door ontwikkelaar Tim Perry, die opmerkte dat het een aanvaller op een lokaal netwerk in staat had kunnen stellen om op afstand kwaadaardige code in het Node.js-proces uit te voeren wanneer een opstartprogramma probeerde een HTTP-verzoek te verzenden. Note.js is de algemene JavaScript-runtime voor het uitvoeren van JavaScript-webapplicaties.
Dit pakket wordt gebruikt om een PAC-bestand in Pac-Proxy-Agent te ondersteunen, dat op zijn beurt wordt gebruikt in Proxy-Agent, dat vervolgens overal wordt gebruikt als het standaard pakket voor automatische HTTP-proxydetectie en -configuratie in Node.js legt uit Perry.
Ik snap het: Ontwikkelaars, DevOps of cyberbeveiliging? Naar welk technisch toptalent zijn werkgevers op dit moment op zoek?
PAC of “Proxy-Auto Config” verwijst naar PAC-bestanden die in JavaScript zijn geschreven om complexe proxyregels te distribueren die een HTTP-client instrueren om de proxy voor een specifieke hostnaam te gebruiken, merkt Berry op, eraan toevoegend dat deze veel worden gebruikt in bedrijfssystemen. Ze worden gedistribueerd vanaf lokale netwerkservers en van externe servers, en zijn vaak onveilig via HTTP in plaats van HTTP’s.
Het is een wijdverbreid probleem omdat proxy wordt gebruikt in de Amazon Web Services Cloud Development Kit (CDK), Mailgun SDK en Google Firebase CLI.
Het pakket krijgt drie miljoen downloads per week en bevat 285.000 gecertificeerde terugkopen op GitHub, Perry’s blognotities.
De kwetsbaarheid is onlangs verholpen in versie 5.0.0 van al deze pakketten en is gemarkeerd als CVE-2021-23406 Nadat het vorige week bekend werd gemaakt.
Dit betekent dat veel ontwikkelaars met Node.js-applicaties waarschijnlijk worden getroffen en moeten updaten naar versie 5.0.
Het is van invloed op iedereen die vóór versie 5.0 op Pac-Resolver vertrouwde in hun Node.js-toepassing. Het is van invloed op deze apps als de ontwikkelaars een van de drie configuraties uitvoeren:
- Gebruik PAC-bestanden expliciet om de proxy te configureren
- Lees en gebruik de OS-proxyconfiguratie in Node.js, op WPAD-compatibele systemen
- Gebruik proxyconfiguratie (env-vars, configuratiebestanden, externe configuratie-eindpunten, opdrachtregelargumenten) van elke andere bron die u niet 100% vertrouwt om vrijelijk code op uw computer uit te voeren
In elk van deze gevallen kan een aanvaller (door een kwaadaardige PAC-URL te configureren, PAC-bestandsverzoeken te onderscheppen met een kwaadaardig bestand of WPAD te gebruiken) willekeurige code op uw computer uitvoeren telkens wanneer u een HTTP-verzoek verzendt met behulp van de proxyconfiguratie. Dit is het ’, merkt Berry op.
“Bekroonde schrijver. Social media-specialist. Introvert. Ongeneeslijke twitterfan. Organisator. Fervent popcultuurliefhebber.”