Plateforme
nodejs
Composant
dns-packet
Corrigé dans
5.2.2
5.2.2
La vulnérabilité CVE-2021-23386 affecte le package dns-packet et permet une divulgation de mémoire. En interrogeant des noms de domaine invalides, des données sensibles de l'application peuvent être exposées sur le réseau. Les versions affectées sont antérieures à 1.3.2 et 5.2.2. La version 5.2.2 corrige cette vulnérabilité.
La vulnérabilité CVE-2021-23386 dans le paquet dns-packet, affectant les versions antérieures à 1.3.2 et 5.2.2, présente un risque d'exposition de mémoire sensible. Le problème réside dans la manière dont le paquet gère l'allocation et le remplissage des tampons (buffers). Plus précisément, il utilise allocUnsafe pour créer des tampons sans s'assurer qu'ils sont entièrement remplis avant de construire des paquets réseau. Cela permet à un attaquant, en envoyant des noms de domaine invalides et spécialement conçus, de provoquer l'inclusion de fragments de la mémoire interne de l'application dans les paquets réseau transmis sur le réseau. Ces informations pourraient inclure des données confidentielles telles que des clés API, des mots de passe ou d'autres informations sensibles, compromettant potentiellement la sécurité du système.
L'exploitation de cette vulnérabilité nécessite qu'un attaquant soit capable d'envoyer des requêtes DNS au système affecté. Cela peut être réalisé par divers moyens, tels que l'envoi de trafic DNS malveillant directement au système ou l'exploitation d'un serveur DNS compromis. L'attaquant doit envoyer des noms de domaine soigneusement conçus qui déclenchent la condition de débordement de tampon. La complexité de l'exploitation dépend de la configuration du réseau et des mesures de sécurité existantes. L'absence de chiffrement dans le réseau aggrave le risque, car les informations exposées sont transmises en texte clair.
Applications utilizing the dns-packet package in Node.js environments are at risk, particularly those handling external DNS queries or processing user-supplied domain names. This includes applications that rely on DNS resolution for functionality, such as DNS resolvers, network monitoring tools, and applications integrating with DNS services. Shared hosting environments where multiple applications share the same Node.js instance are also at increased risk.
• nodejs / server:
npm list dns-packetIf the output shows a version prior to 5.2.2, the system is vulnerable. • nodejs / server:
npm audit dns-packetThis command will identify the vulnerability and suggest an upgrade. • generic web: Monitor network traffic for unusual DNS queries containing invalid or malformed domain names. Look for patterns indicative of probing or exploitation attempts.
disclosure
Statut de l'Exploit
EPSS
1.11% (percentile 78%)
Vecteur CVSS
La mitigation recommandée pour CVE-2021-23386 est de mettre à jour le paquet dns-packet à la version 5.2.2 ou ultérieure. Cette version inclut des corrections qui corrigent la vulnérabilité en garantissant que les tampons sont correctement remplis avant d'être utilisés pour construire des paquets réseau. Si la mise à jour n'est pas immédiatement possible, envisagez de mettre en œuvre des mesures de sécurité supplémentaires, telles que la segmentation du réseau et la surveillance du trafic réseau à la recherche de schémas suspects. Il est également crucial de revoir les dépendances du projet et de mettre à jour toutes les autres bibliothèques utilisant des versions vulnérables de dns-packet. L'application rapide de correctifs de sécurité est essentielle pour protéger les systèmes contre les attaques potentielles.
Actualice el paquete dns-packet a la versión 5.2.2 o superior. Esto corrige la vulnerabilidad de exposición de memoria al asegurar que los buffers se llenen correctamente antes de formar paquetes de red. Ejecute `npm install dns-packet@latest` para actualizar.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une fonction qui alloue de la mémoire rapidement mais sans vérifications de sécurité approfondies, ce qui peut entraîner des erreurs telles que des débordements de tampon.
Vérifiez la version du paquet dns-packet que vous utilisez. Si elle est antérieure à 1.3.2 ou 5.2.2, il est vulnérable.
Mettez en œuvre la segmentation du réseau et surveillez le trafic réseau à la recherche de schémas suspects.
Des données sensibles telles que des clés API, des mots de passe et d'autres informations confidentielles stockées dans la mémoire de l'application.
Effectuez des tests approfondis pour vous assurer que la mise à jour n'a pas introduit de nouveaux problèmes.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.