利用导致流行的正则库将磨碎
更新(8月19日; 07:32 UTC)发现该漏洞的研究人员代替了一个补丁,已发布了一个新的软件包,url-regex-Safe,可以解决此问题。有关可用的更多信息github。
使用流行URL-REGEX库的Node.js应用程序可能容易受到正则表达拒绝服务(REDOS)攻击的攻击,一个Github咨询警告。
该错误最初是由软件工程师尼克·鲍(Nick Baugh),影响所有版本的URL-REGEX,尚未修补。
URL-REGEX软件包每月下载约300万次。
应用程序使用正则表达式库来搜索和解析基于相关模式的输入字符串。
恶意演员可以通过发送精心制作的字符串来利用此功能,该琴弦导致极端情况,其中URL-REGEX库会减慢爬网并停止应用程序服务器,从而导致一个重做攻击。
一个危险但罕见的虫子
攻击者向表达式解析器提供非常长而无效的字符串时,URL-REGEX中的重做漏洞会启动。概念证明Baugh提供给Snyk.io的漏洞数据库。
攻击者可以利用这一点脆弱性Baugh写道:“导致服务过度消耗CPU,从而导致服务。”
研究人员在研究中发现了这个错误垃圾邮件扫描仪,他坚持的图书馆。
有关的盲目注射:理论利用提供了强迫网络应用程序泄漏秘密的新方法beplay体育能用吗
在书面评论中每日swbeplay2018官网igBaugh说:“我正在为培训我们的反垃圾邮件分类器培训电子邮件,这会导致CPU达到100%。
“我有一个数百个GB的垃圾邮件数据集,我积累了研究,并在完成(花费数小时)的一半之后,它冻结了这一过程。”
NIST国家脆弱性数据库已将漏洞的风险评分评分为“7.5,或更高。”但是,Baugh确认重做错误是一个边缘情况。
他说:“我知道,没有多少人以其他人可以利用的方式使用它,因此这并不是巨大的安全风险。”
“但是,对于任何以这种方式摘要的信息,都可以使用此信息,那么这绝对是一种风险。我认为它没有早些时候发现,因为人们不像我那样使用它。”
怪异的沉默导致出埃及记
URL-REGEX的维护者尚未对安全研究人员的疑问做出回应。
Snyk的安全团队的咨询,发布在该错误的Github问题6月2日读:
我们已经验证了这种漏洞,并伸出援手尝试多次与维护者进一步讨论此问题。截至目前,我们尚未得到回应,由于这种脆弱性已经公开公开,我们认为负责任的事情是转到正式披露。
该错误都没有修补。
出色的漏洞促使一些开发人员将URL-REGEX交换为其他正则表达式库。Baugh提议使用节点re2,一个不遭受同一漏洞的正则库。
周一,将URL-Regex库从Wix网站构建平台中删除,并取代了Is-url-Superb。beplay体育能用吗
“ URL-REGEX具有安全性漏洞。IS-url-superb使用本机URL API验证文本是有效的URL。更干净。”安全提交发布在Wix的GitHub存储库上。
Postcs-values-parser库的维护者从其依赖树中删除了URL-REGEX周一,宣布:“ url-regex有一个公开的漏洞(kevva/url-regex#70),没有可用的补丁。”
