Sélectionner une page


nodejs

Une bibliothèque Node.js fortement téléchargée présente une vulnérabilité d’injection de commande très grave ce mois-ci.

Suivi comme CVE-2021-21315Le bogue affecte le composant «Informations système» de npm, qui reçoit environ 800 000 téléchargements par semaine et a réalisé près de 34 millions de téléchargements depuis sa création.

Correction du bogue d’injection de commande du système d’exploitation

En termes simples, «Informations système» est une simple bibliothèque Node.js que les développeurs peuvent inclure dans leur projet pour obtenir des informations système sur le processeur, le matériel, la batterie, le réseau, les services et les processus système.

Selon le développeur du projet, les développeurs devraient utiliser des «informations système» dans le backend.

« Node.js a des informations de base sur le système d’exploitation, mais j’ai toujours voulu un peu plus. Je suis donc venu ici pour écrire cette petite bibliothèque. »

« Cette bibliothèque est toujours en cours de travail. Elle est destinée à être utilisée comme côté backend / serveur (ne fonctionne certainement pas dans un navigateur). » conditions le développeur derrière le composant.

Cependant, la présence du bogue d’injection de code dans « Informations système » signifiait qu’un attaquant pouvait exécuter des commandes système en injectant soigneusement la charge utile dans les paramètres non nettoyés utilisés par le composant.

La mise à jour ci-dessous a été adoptée dans la version 5.3.1 efface les paramètres des « informations système », vérifie s’ils sont de la Chaîne Type de données et également si le paramètre a contaminé le prototype à tout moment avant que d’autres commandes ne soient appelées.

Correctif pour CVE-2021-21315
Le correctif pour CVE-2021-21315 nettoie et valide les paramètres correctement
Source: GitHub

Les utilisateurs des informations système doivent effectuer une mise à niveau vers la version 5.3.1 et ultérieure pour résoudre la vulnérabilité CVE-2021-21315 dans leur application.

Solution de contournement également disponible

Pour les développeurs qui ne peuvent pas mettre à niveau vers la version fixe, l’éditeur du projet a publié des informations sur une solution de contournement qui peut être adoptée à la place.

Ceci, à son tour, implique de nettoyer les paramètres de tous les personnages offensants et de vérifier correctement qu’ils proviennent du Chaîne Type de données.

« Pour contourner le problème, vous devez examiner ou nettoyer les paramètres de service qui sont passés au lieu de procéder à la mise à niveau. » si.inetLatency (), si.inetChecksite (), si.services (), si.processLoad () … n’autorise que les chaînes, rejette les tableaux. L’hygiène des cordes fonctionne comme prévu », déclare le npm associé Avis de sécurité.

Les développeurs de Node.js doivent s’assurer que leurs applications nettoient correctement les entrées utilisateur avant de les utiliser dans les commandes et les requêtes de base de données.

Les utilisateurs doivent également visiter npm régulièrement consignes de sécurité Informations sur les dernières mises à jour de sécurité pour les composants Node.js.



Source link

Recent Posts