Node.js模块中的RCE漏洞将无法修复
一位软件工程师警告说,更安全的评估中的一个关键脆弱性会影响依赖于node.js库的36,000多个项目的风险。
错误 -CVE-2019-10769- 可能导致许多问题,包括沙盒旁路,跨站脚本((XSS), 或者远程代码执行((RCE),Gradle的软件工程师Jonathan Leitschuh昨天(12月9日)披露在Twitter上。
Leitschuh指出,超过36,000个项目使用脆弱的图书馆。所有版本都受到影响,并根据上周下旬发布的GitHub咨询,尚未发布补丁。
Safer-eval是一个节点。JS库开源麻省理工学院许可证并设计为JS标准库的替代方案评估功能。
它旨在在沙箱中评估JavaScript,允许一些表达式,同时扔掉其他人,以防止XSS和RCE利用。
如开发人员所述罗伯特·韦伯beplay体育能用吗, 基础的评估某些人认为功能是“远离邪恶的一封信”。通过包括评估他说,在代码库中发挥作用:“您将鼓励未来的开发人员将其用于不良目的”。
你可能还喜欢完整的软件包:您需要了解的有关NMP安全的所有信息
12月6日,包裹作者发表了警告对于更安全的Eval用户(在过去一周的代码存储库中,已有50,000多个下载量)应将模块视为“有害”。
该咨询说:“在使用此模块之前,请问自己是否没有比使用更安全的选择更好的选择。”
“它可能比不好的旧eval()但具有有害的潜力”。
同样的警告已在更安全的github上发布项目页面。
这可能与近期概念证明(POC)有关利用代码能够滥用关键的更安全的漏洞。
4月,Github用户xmiliah还发布了POC代码能够引起VM2中的沙盒突破通过生成范围误差。
但是,一旦由Xmiliah检查,他们将使用范围错误的使用为“过度杀伤”,导致写的更简单的POC并由开发人员出版。
较早版本的更安全的版本 - 1.3.3及以下 - 还有发现很脆弱通过恶意有效载荷能够篡改构造函数,到达沙盒旁路和RCE攻击。
此漏洞被跟踪为CVE-2019-10759并于7月公开。
在没有新漏洞的补丁开发的情况下,更安全的eval拥有推荐VM2作为替代品并有鼓励公众发布了针对模块的利用,以“帮助他人建造更好的沙箱”。
